Af Tom Madsen, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I de seneste måneder har vi set flere eksempler på malware rettet specielt imod Android-mobiler, og derfor kigger vi denne gang på Android-sikkerhed.
Tilbage i februar annoncerede det danske Sikkerhedsfirma Heimdal, at de havde fundet malware, der ankom til Android-mobiler som en tekstbesked, der fortalte, at brugeren havde fået en mms. Brugeren skulle bare klikke på et link i tekstbeskeden, så ville en installation af en APK-fil gå i gang. APK-filer er det installationsformat, der bruges af programmer på Android. Brugeren skulle stadigvæk godkende installationen, men det var der mange, der gjorde.
Heimdal døbte malwaren Mazar. Det nye med denne malware var, at den var programmeret til specifikt at undgå at inficere russiske telefoner. Ca. 100.000 danske telefoner modtog beskeden med linket til malwaren, og når Mazar først er installeret, så har den fuld kontrol med alt, hvad der foregår på telefonen. Vi så det også senere i maj måned med en sms, der så ud til at komme fra Post Danmark, men som også var malware, der ville installere en APK-fil.
Det største mobile styresystem
Android er nu det største mobile operativsystem i verden, og dermed et oplagt mål for dem der er interesserede i de data, der ligger på vores telefoner. De mobile enheder, vi bruger i dag, er lige så kraftfulde som de computere, vi brugte i sidste årti. Vi bruger vores mobile enheder til at tilgå vores netbank, firmadata, lægens webside og mange andre websider. Vores enheder er dermed guldgruber af data, der kan høstes og anvendes til nederdrægtige formål.
Vi har igennem mange år efterhånden lært, hvordan vi skal beskytte os selv på vores pc’er, men hvad med vores mobile enheder? Hvordan skal vi beskytte dem og vores data? Det vil vi kigge nærmere på her. Vi vil tillige komme med en liste af råd, du kan følge for at beskytte din Android-enhed. Bruger du i stedet iPhone, Windows Phone eller BlackBerry, så vil de samme råd gøre sig gældende. De trin, du skal gå igennem, er bare anderledes.
Samme trusler som på pc
Android er et operativsystem. Det, du skal lægge mærke til her, er ordet operativsystem. Vi har i de sidste 30 år skullet beskytte os imod diverse vira til Windows, som også er et operativsystem. Operativsystemer, uanset om de er til pc’er eller mobile enheder, er sårbare over for huller i softwaren. Det kan være i selve operativsystemet eller i en af de apps, som kører på systemet. 0day også kaldet zero-day-sårbarheder, som vi kender på pc’er, findes faktisk også til mobile enheder, så de samme trusler som findes til pc, findes ofte også til mobile enheder.
Apps beder om tilladelser
Udover styresystemet, så er der de apps, vi installerer på vores enheder. Disse apps beder ofte om tilladelse til særlige funktioner på din enhed, men tænker vi egentlig over, hvilke rettigheder vi giver disse apps? Et eksempel jeg personligt kender til, er en app, der skal installeres på to telefoner. Den ene telefon placeres på barneværelset, og sender så en sms til den anden telefon, når den registrerer lyd fra barneværelset. Smart idé og en nem erstatning for en babyalarm. Men hvorfor beder appen også om adgang til både kameraet i min telefon og gps’en? Hvad skal appen bruge den adgang til?
Desværre ser vi igen og igen, at mange af de apps, vi installerer, kræver adgang til så at sige alt, hvad vi har på vores telefoner, og mange gange uden vi ved, hvad disse apps egentlig bruger adgangen til.
Der er masser af eksempler på apps til både Android og iPhone, der har misbrugt denne adgang til at sende oplysninger om sms’er, fotos, vores location m.m. til en tredje part. I de kommende år, efterhånden som Internet of Things (IoT) breder sig, vil vi utvivlsomt se flere af den slags misbrug af rettigheder. Android vil garanteret være en af de platforme, som IoT vil komme til at køre på, så de råd, der kommer nedenfor vil også være gældende for IoT.
7 gode råd
Vi skal være agtpågivende over for de apps, som vi installerer, og de beskeder vi modtager, men lad os komme videre til den liste med gode råd, vi lovede tidligere.
Vi har syv råd, som kan hjælpe dig med at gøre din Android-telefon mere sikker. De vil ikke gøre den 100 % sikker, men de vil gøre det sværere for en angriber at kompromittere din telefon.
1 Som udgangspunkt har alle Android-mobiler en indstilling, der kun tillader installation af apps fra Googles App Store. Du skal ændre denne indstilling, hvis du vil installere fra andre app stores. LAD VÆRE MED DET! Google screener de apps, der kommer op på deres store, og den samme garanti findes ikke fra andre app stores.
2 Lad vær med at gemme dine adgangskoder til websider eller apps på telefonen. Det gør det markant nemmere for brugeren at tilgå disse services, men det gør det lige så let for en, der har stjålet telefonen, at tilgå tjenesterne.
3 Hvis din enhed kører Android 4.3 eller en senere version, så bør du anvende den indbyggede sikkerhed, der kommer med disse versioner. Fra version 4.3 af Android kan du bruge screen lock og kryptering til at beskytte dine data på telefonen. Du kan vælge imellem flere forskellige metoder til at åbne for telefonen. Både en pin og en adgangskode er blandt mulighederne.
4 Tjek de adgangsrettigheder, som en app beder om, når den installerer. Hvis du er utryg ved nogle af disse rettigheder, så lad være med at installere den. Læs også de kommentarer som langt de fleste apps har på deres installationside i app storen. De kan være fulde af advarsler eller andre gode råd i forbindelse med appen.
5 Når du bruger din mobile enhed via en Wi-Fi-forbindelse til f.eks. at tilgå din netbank, så sørg for at bruge en VPN-forbindelse. Langt de fleste hotspots er åbne for alle, og dermed også åben for at alle kan se andres trafik over dette hotspot. Der findes masser af VPN-apps til Android, men husk lige råd nummer 4. Tjek de kommentarer der er til appen, og de rettigheder som den beder om!
6 Brug en mobil sikkerheds-app. Ligesom med VPN, findes der adskillige sikkerheds-apps fra de store sikkerhedsleverandører til Android. Disse apps kan du bruge til at beskytte mod vira til Android. Det er dog ikke nogen 100 % garanti imod disse vira, fordi udviklerne af dem bliver bedre og bedre til at skjule dem, fuldstændigt som på pc, men det giver en større tryghed.
7 Dette råd gælder for alle dine enheder, uanset om det er for en pc eller en mobil enhed. Lav en backup af dine data! De fleste enheder kommer med muligheden for at slette enheden efter, at den er blevet mistet, men uden en backup vil du miste alle dine data. Langt de fleste af os har data på vores enheder, som vi ville være kede af at miste, men det er kun få af os, der har en backup af disse data.
Nogle af disse råd, gør enheden mere besværlig at bruge, men husk, at hvis du ikke følger disse råd, så løber du en større risiko.
Her til sidst skal følge en opfordring til app-udviklere. Lad være med at lade jeres apps bede om alle de adgangsrettigheder, den har mulighed for at bede om. Skal den kun bruge én rettighed, så bed kun om denne ene rettighed. Det vil sikre, at din app vil få mange og gode kommentarer fra de brugere, som er bevidste om sikkerheden på deres enheder.