Sikkerhedsekspert: Vi har for stor tiltro til mobile apps

TDC-sikkerhedsekspert råber vagt i gevær, når det kommer til mobilsikkerhed. Vi tager det simpelthen ikke alvorligt nok, siger han og understreger sin pointe med de mange apps, der automatisk får adgang til følsom information ved brugerens download.

Området for mobilsikkerhed er efterhånden blevet indhyllet i så meget selvfølgelighed, at vi har glemt alvoren. For selvfølgelig kan man i dag betragte en mobiltelefon eller en tablet som en minicomputer med stor regnekraft. Selvfølgelig anvender de fleste af os mobiltelefonen eller tabletten til både privat underholdning og arbejdsmæssige gøremål. Og selvfølgelig har de kriminelle samme interesse for vores mobile enheder, som de har for vores computere.

På trods af al denne selvfølgelighed, så halter det stadig med sikkerheden på vores mobile enheder. Det konstaterer Jørgen Hartig, Chef for produktudvikling i TDC Sikkerhed.

“Jeg tror, at tillid spiller en stor rolle,” forklarer han. “Vi har stor tillid til, at hvis vi eksempelvis henter en app i Apples App Store eller Google Play, så er den også sikker. Men vi har set flere eksempler på, at det er den ikke nødvendigvis.”

App’en opdateres uden om Apple og Google

Jørgen Hartig henviser til en undersøgelse foretaget af virksomheden FireEye, som er en af TDC’s samarbejdspartnere inden for sikkehed. Undersøgelsen viste bl.a., at apps til iOS kan blive automatisk opdateret uden om Apple og deres sikkerhedsforanstaltninger.

“Apps, der bliver distribueret ved hjælp af enterprise provisioneringsprofiler, kaldes for EnPublic apps. EnPublic apps giver mulighed for en parallel opdatering udenom App Store, og derfor kan kriminelle foretage angreb via private API’er. Det betyder, at de sniger ondsindede apps ind på de mobile enheder og dermed bliver i stand til eksempelvis at aflure sms’er og opkaldslister, tænde for enhedens mikrofon og tjekke, hvilke andre apps der kører på telefonen,” siger Jørgen Hartig.

FireEyes undersøgelse viste, at mere end 80 pct. af de EnPublic apps, der er på markedet, bruger private API’er, selvom Apple forbyder det.

FireEye-undersøgelsen viste også, at mere end 5 mia. downloadede apps til Android-platformen potentielt kan udnyttes til at foretage sikkerhedsangreb.

Hvem læser End User License Agreement?

Som et eksempel på, hvor stor selvfølgeligheden efterhånden er blevet, besluttede Jørgen Hartig sig en dag for at gå i den modsatte retning og foretage et lille eksperiment. Han ville rent faktisk læse den End User License Agreement, han fik præsenteret, da han forsøgte at hente den populære Wordfeud-app.

“Mange mennesker læser aldrig, hvad de giver app’en lov til, når de henter den. De klikker sig bare hurtigt igennem og downloader. Men da jeg læste siderne, kunne jeg se, at jeg ved at hente app’en, gav den lov til at indsamle og videregive personlig informationer fra min telefon,” siger Jørgen Hartig.

Sønnikes spil-app kan være indgangen

I dag er smartphones need to have for de fleste mennesker, og de er pakket med privat og virksomhedsrelateret kritisk information, der kan bruges til identitetstyveri og generelt datatyveri fra enheden. Risikoen ved at hente usikre apps er ikke nødvendigvis den funktionalitet, app’en har adgang til. Det er snarere adgangen til data i sig selv.

“Når en smartphone eller tablet bliver udleveret til en medarbejder, opfattes den som en personlig ejendom, og det betyder, at der bliver downloadet en række private apps på enheden, hvilket kan bringe virksomhedens interne information i fare,” siger Jørgen Hartig.

“Noget så uskyldigt som din søns foretrukne spil-app kan være problemet. Hvis medarbejderen – eller sønnen – uvidende kommer til at opdatere den forkerte app, vil de kriminelle komme videre derfra og tvinge sig vej ind på indersiden af en virksomheds infrastruktur via det trådløse netværk. Og så er skaden sket,” siger Jørgen Hartig.

Teknologierne findes

Han opfordrer til, at man som modtræk mod de mobile angreb udarbejder risikovurderinger og modenhedsanalyser, på samme måde som man udarbejder et sikkerhedsberedskab for virksomhedens computersikkerhed.

“Teknologierne til at beskytte sig mod mobile trusler findes og bør kombineres med MDM-løsninger, som anvendes af mange virksomheder. Der er ikke nogen god undskyldning længere. Når vi bliver ved med at se mangelfuld beskyttelse af de mobile enheder, vidner det om, at udfordringerne primært er mindset-problemer. Vi tager det simpelthen ikke alvorligt nok – bl.a. ved download af mobile apps. Det er vi nødt til at lave om på,” slutter han.

TDC og FireEye i nyt samarbejde

TDC har for nylig indgået et samarbejde med sikkerhedsvirksomheden FireEye, hvis inkluderer:

  • Kontekstbaseret analyse: kombination af de forskellige handlinger, app’en får lov til at udføre ved download.
  • Adfærdsbaseret analyse, hvor virksomhederne får et primært billede af, hvad en app ret faktisk gør.
  • Konkret risikovurdering baseret på analyse, tidligere hændelser, spor og mønstre efter skadelig kode.

Øget fokus på mobilsikkerhed i 2016

I FireEye har it-sikkerhedsekspert Jens Christian Høy Monrad oplevet en stigning i antallet af angreb mod mobile enheder:

“Alene i 2016 har vi været vidne til specifikke kampanger målrettet danske mobilbrugere. Da nogle mobile økosystemer er så fragmenterede i forhold til opdateringer af sårbarheder, kan vi ikke stole på, at de enkelte enheder bliver opdateret hurtigt nok. Der er derfor brug for løsninger, som binder en risikovurdering sammen med enhedshåndtering, så man kan minimere tiden, det tager at opdage en trussel, til man har fjernet truslen. Tiden mellem opdagelse og oprydning er kritisk, hvis man vil reducere risikoen for yderligere kompromittering og evt. tab af forretningskritisk data,” siger han.

 

Se flere artikler
Der er ikke flere artikler. Se alle aktuelle temaer

Skriv en kommentar

Skriv dit navn og e-mail (e-mail vises ikke) eller log ind via en af dine sociale profiler. Vi bruger kun navn og billede til visning af din kommentar.