INNSYN: En svakhet i ubeskyttet ekstern lagring i Android kan gi angripere innsyn i data som lagres eksternt. (Ill.: Pixabay.com)

Android-utviklere får kritikk

Check Point varsler nå om en nyoppdaget feil i tilknytning til datalagring i Android-operativsystemet som kan brukes til sikkerhetsinnbrudd og angrep. Utviklere får kritikk.

I tillegg advarer Check Point mot en sårbarhet som selskapet har avdekket i meldingstjensten WhatsApp. Appen, som eies av Facebook, har stor utbredelse, og sårbarheten kan potensielt berøre halvannen milliard Whatsapp-brukere, ifølge Check Point.

– Sløve utviklere

Sikkerhetsselskapet Check Point Software Technologies har på den store hackerkonferansen Def Con i Las Vegas nå i august lagt frem informasjon om flere nyoppdagede sikkerhetstrusler.

I en av advarslene som har fått stor oppmerksomhet, får angivelig sløve Android-utviklere – «sloppy Android developers» – påpakning for ikke å følge sikkerhetsretningslinjene for ekstern datalagring. Dermed åpner de døra for at inntrengere kan overta styringen av Android-enhetene, advarer Check Point.

Selskapet har avslørt at selv enkelte utviklere fra Google, som jo står bak Android-operativsystemet, er blant dem som kan kritiseres for å omgå Googles anbefalte sikkerhetsrutiner på dette området.

Man-in-the-disk

Android-svakheten som det er snakk om, har fått klengenavnet «Man-in-the-disk». Den har sammenheng med at man i Android-operativsystemet opererer med to typer datalagring.

Den interne lagringen er basert på at hver app er beskyttet av sin egen sandkasse – «sandbox» – som skal forhindre at data knyttet til én app skal påføre potensiell skade på data fra andre apper.

Men data kan også lagres eksternt, for eksempel på et uttagbart MicroSD-kort. Data som lagres her, deles av alle appene i systemet, for noe av poenget er jo her skal data kunne overføres fra én app til en annen.

Disse midlertidige filene har mange legitime funksjoner, ifølge produktsjefen i Check Points avdeling for trusselbeskyttelse, Orli Gan. Til nettstedet Threatpost sier hun at løsningen imidlertid ikke har noen innebygd beskyttelse mot deling av skadelig programvare. Riktignok sier Googles retningslinjer at man aldri skal la en app skrive kritiske datafiler til eksterne lagringsmedier, og at filer som lagres ekstern må krypteres.

Følger ikke retningslinjene

Men ifølge Gan er det mange utviklere som ikke følger retningslinjene. – Kanskje har de sin egen agenda, eller de er late eller mangler kunnskaper om sikkerhet, eller de har kanskje ikke brydd seg om å lese dem, sier Check Points talsperson – som for øvrig kommer til Oslo i slutten av august for å drøfte sikkerhetstrusler med norske bedrifter.

Omtrent halvparten av appene som Check Point undersøkte i Googles nettbutikk Google Play, viste seg ikke å følge retningslinjene. Noen av dem var til og med utviklet av Google selv.

En potensiell angriper kan enkelt følge med på hva som skjer i det eksterne lagringsområdet og slå til med å bytte ut data med sin egen kode når tiden er moden.

Sikkerhetsekspert Slava Makkaveev hos Check Point sier at denne sikkerhetsbristen i Android gjør det mulig for en angriper å ødelegge data, stjele sensitiv informasjon eller til og med overta kontrollen av den berørte enheten.

Manipulere meldinger

Den andre sikkerhetsbristen som har fått stor oppmerksomhet på Def Con, er altså en svakhet som Check Point har funnet i Whatsapp-appen fra Facebook. Denne svakheten gjør det angivelig enkelt for hackere å manipulere både private meldinger og gruppemeldinger, heter det i en melding fra Check Point.

Brukere kan manipulere teksten i svarmeldinger fra andre, bruke sitatfunksjonen i en gruppesamtale for å endre identiteten til avsender og gjøre annet skadeverk.

Check Point oppfordrer nå Facebook til å ta tak i problemet snarest.