Experten varnar – här är de tio vanligaste riskerna i mobila appar

Sårbarheter i mobila appar är en stigande riskfaktor. För varje år rapporteras fler och fler attacker i medier och den data vi numera kan komma åt via våra mobila enheter allt mer omfattande. De risker som finns hos våra mobilappar kan fördelas in i två kategorier – dels de rena sårbarheterna som är möjliga för en hacker att utnyttja, men också mer diffust gråskaliga hot som inte är regelrätta sårbarheter, men som definitivt gör en lite svettig. Hur många appar har du exempelvis installerade på din mobil? Och hur många av dessa appar i sin tur har du gett åtkomst till dina SMS, din hälsodata och kanske din position precis just nu? Är appen gratis är det ofta du och din data som är produkten.

Den icke-vinstdrivande organisationen OWASP (Open Web Application Security Project) har tidigare utarbetat en topp tio-lista med de vanligaste sårbarheterna för mobila applikationer. Trots att listan sammanställdes under 2016/2017 är den fortfarande lika aktuell med de riskkategorier som den täcker. Syftet med listan är att upplysa och ge förståelse kring de risker som finns i våra mobila applikationer. Låt oss titta på dessa.

10. Bortglömd funktionalitet
Människan är av naturen lat, och detta gäller såklart även för apputvecklare. Under byggandet av en applikation förenklas ofta flöden för på så vis också förenkla arbetet. Till exempel kan utvecklaren tillfälligt få skippa tvåfaktorsautentisering – ett kryphål som efteråt ibland glöms bort att inaktiveras. Eller så lämnas kort och gott viss känslig data kring utvecklingen kvar i den slutfärdiga produkten. Att glömma är mänskligt, men det är dessvärre något teknik struntar helt i.

9. Reverse engineering
Ett sätt för angripare att kunna förstå hur de kan utnyttja appar är att helt enkelt demontera dem. Som att ta isär ett färdiglagt pussel kan hackaren granska varje del för sig, och på så vis få bättre insyn i hur varje bit ser ut och är uppbyggd. Hackern kan med hjälp av denna metod se de servrar och databaser som appen kommunicerar mot, stjäla data eller till och med få tillräcklig förståelse för att kunna skapa en ny elak kopia av appen (se nummer 8).

8. Manipulerad kod
Spotify Premium gratis. Pokemon Go-bollar som räcker hela sommarnatten lång. Det finns massor av appbutiker utöver Apples och Googles officiella som har många åtråvärda versioner av våra vanligaste appar. Det fick dock en stor skillnad. Här betalar du med en annan valuta när du laddar hem. Här kostar appen data om dig, din enhet och din arbetsgivares alla hemlisar.

7. Dålig kodkvalitet
Även för mobila applikationer finns det bättre och sämre varianter. Denna sårbarhetskategori är väldigt generell, men handlar i stora drag om att applikationen är byggd med exempelvis fel api:er eller att de är dåligt använda. Kort och gott, koden är dåligt knackad.

6. Felaktiga behörigheter
De flesta appar med användarkonton har olika behörighetsnivåer. Om en hacker får nys om hur dessa olika behörighetsnivåer är sårbara, kan den via automatiserade programvaror forcera sig till att komma åt funktioner som bara administratörer ska ha åtkomst till, och på så vis både kunna stjäla information, men också ställa till med bus som skadar verksamhetens ansikte utåt.

5. Otillräcklig kryptering
Nu börjar det hetta till i denna lista. Taskig kryptering kan innebära flertalet olika saker, och de är lika allvarliga. Antingen kan appen i sig har osäker kryptering - eller så sker dess trafik till backendservar osäkert till. Företagsappar med åtkomst till känslig företagsdata kräver kryptering, både för datan på enheten och den som förflyttas. Du står inte öppet och gormar om företagshemligheter på stan och din telefon bör faktiskt inte heller göra det.

4. Otillräcklig autentisering
Svaga autentiseringsalternativ möjliggör för en hackare att knäcka nöten kring hur inloggningen funkar och på så vis finna sårbarheter i detta. Okrypterade inloggningsuppgifter, inte tillräckliga eller till och med helt skippade autentiseringsscheman gör att en utomstående kan skicka förfrågningar direkt till appens backendservrar i värsta fall.

3. Osäker kommunikation
Via osäkra nätverk finns alltid risken för så kallade MiTM (man in the middle) -attacker, där en hacker med olika metoder kan stjäla data från appar medan telefonen är uppkopplad till det nätverket. Genom att skapa fejkade nätverk med hjälp av exempelvis en pineapple, i princip en ondsint skurkrouter, kan en hacker både stjäla känslig data och autentiseringsuppgifter från användaren. Vanligt är att döpa det onda nätverket till ett liknande riktigt nätverk som finns på platsen. För vem reflekterar ens en sekund över att det finns både ett ‘Arlanda Free wifi och ett ‘Free wifi Arlanda’? Och sen är det för sent.

2. Osäker datalagring
Näst högst rankad på OWASPs lista över mobila sårbarheter ligger något så kusligt som ett intrång i en app när en hackare fått tag på en enhet rent fysiskt. I en hackares händer kan såklart mycket skräp hända, men det denna kategori innefattar är alltså möjligheten för en hacker att kunna plocka ut användardata eller inloggningsuppgifter från en app för att de helt enkelt sparas synligt och okrypterat i appens lagringsdel.

1. Felaktig användning av operativsystemets funktioner
På första plats ligger en samling missförstånd, för det är egentligen vad denna kategori handlar om. Med varje operativsystem kommer också riktlinjer för hur en utvecklare bör använda dess olika funktioner, och ett vanligt problem är att man missförstår dem, och i strävan efter att göra rätt blir det helt enkelt fel. Med massor av funktioner som släpps kontinuerligt, olika smaker av Android och den mänskliga faktorn som topping, är det inte helt konstigt att det är med denna kategori vi avslutar denna lista av sårbarheter för mobila appar.

Läs mer: Sju spartips som du inte har råd att missa – tco för mobila arbetsplatser
Läs mer: 7 enkla steg till en mer mobil arbetsplats