Apps uten tillatelser trenger ikke være så uskyldige som de fleste av oss har trodd. Denne appen er kun en bildeillustrasjon og uskyldig inntil det motsatte er bevist. (Bilde: Lars Lillo Ulvestad / Skjermdump)

VOICEEMPLOYER

Apper kan stjele sensitive data fra mobilen

Slik får de tilgang til personopplysninger og GPS-koordinater.

Skadelig programvare installeres gjennom at et program sniker til seg tillatelser uten at brukeren merker det.

Men det er i utgangspunktet rimelig for en mobilbruker å tro at apper som ikke krever noen tillatelser fra mobilen er trygge.

Forskere ved Universitetet i Hong Kong har avdekket at slike apper potensielt kan være svært skadelige.

De kinesiske forskerne laget en Android-app ved navn VoiceEmployer som utnyttet Google Voice Search (GVS). Den krever null tillatelser, men er likevel i stand til å innhente alvorlig mye sensitiv informasjon om mobilbrukeren.

Les også: Tilgang til andres e-post: 1080 kroner

Høyttaler-kapring

Rapporten fra Hong Kong-universitetets IT-ingeniører viser hvordan forskerne på en svært kreativ måte tar kontroll over mobiltelefonen på.

Sårbarheten utnyttes så enkelt som at appen spiller av kommandoer til GVS.

"Med finurlig design, kan våre GVS-angrep forfalske SMS/e-post, få tilgang til personsensitiv informasjon, overføre sensitive data og oppnå fjernstyring uten tillatelse", skriver Wenrui Diao og hans medforskere i rapporten.

En svakhet med angrepet er selvfølgelig at brukeren oppdager lydene og fatter mistanke om at noe er galt.

I praksis skal så og si alle Android-enheter utstyrt med Google Services Framework kunne rammes av GVS-angrep. Om brukeren har vanlig Android eller den modifiserte utgaven CyanogenMod installert, spiller også liten rolle.

Les også: Slik ble datahacking fremstilt i 80-tallsfilmer

 Lydfiler spilt av fra VoiceEmployer aktiverer Googles stemmesøk og kan fjernstyre visse kommandoer ved å kommunisere med mikrofonen.
Lydfiler spilt av fra VoiceEmployer aktiverer Googles stemmesøk og kan fjernstyre visse kommandoer ved å kommunisere med mikrofonen. The Chinese University of Hong Kong

Ekstra utsatt

Androids fremvoksende popularitet gjør dem til et attraktivt mål for hackere. Kaperskys årlige skadevarerapport viser at 98,05 prosent av den skadelige programvaren de oppdaget var Android-rettet.

Hong Kong-forskerne mener at også sensorer som lyssensorer, akselerometer, mikrofoner og GPS på Android-enheter kan være mektige våpen for dem som vil innhente persondata til ondskapens tjeneste.

Les også: 10 triks for bedre wifi hjemme

NorSIS kommer med råd

Christian Meyer ved Norsk senter for informasjonssikring (NorSIS) er klar over at en stor overvekt av skadevaren rammer Android, og hevder at mye av problemet skyldes at veldig mange Android-brukere ikke har oppdatert operativsystemet. Han kommer likevel med følgende, generelle anbefaling til alle eiere av smartmobiler:

  • Sørg for at smarttelefonen din er oppdatert.
  • Installer kun applikasjoner fra leverandørens hjemmesider. For Android vil det være Google Play.
  • Sjekk tillatelser før du installerer en applikasjon. Tillatelsene må sees i sammenheng med hva applikasjonen skal gjøre.
  • Se egen veiledning om sikring av smarttelefoner og nettbrett.

Les også:

5 ting vi hater med Android, iOS og Windows

5 ting vi elsker med Android, iOS og Windows

Slik gjør du Android-mobilen din raskere