Sikkerheden i Android-systemet er under pres for tiden.
For ikke nok med, at den frygtede Stagefright-sårbarhed florerer med mulighed for, at uvedkommende kan overtage din telefon.
Flere af de mest populære Android-apps kan risikere at udlevere dine passwords, billeder og andre informationer.
Det fortæller sikkerhedsekspert Jens Christian Høy Monrad fra sikkerhedsfirmaet FireEye til Computerworld.
674 sårbare top-apps
Sidste år fandt FireEye frem til, at 674 af de 1.000 mest downloadede gratis apps i Google-butikken har større eller mindre sikkerhedsudfordringer i den måde, som de tilgår bagvedliggende webservices på, der igen åbner for såkaldte man-in-the-middle-angreb.
Eller sagt på en anden måde:
Når du benytter en app, kan den sende informationer ukrypteret, som it-kriminelle kan kigge med i og derefter få adgang til dine billeder, passwords og beskeder.
"De apps, vi har kigget på, har alle en eller anden form for cloud-kommunikation til en remote server, hvor udviklerne i flere tilfælde har benyttet sig af tredjepart-libraries, eksempelvis reklame-libraries, som ikke altid er lige sikre," forklarer Jens Christian Høy Monrad.
Et library - eller bibliotek på dansk - er en samling af allerede programmerede enheder, som en udvikler kan benytte sig af i sin app-udvikling for at spare tid.
Så når Jens Christian Høy Monrad nævner reklame-libraries, er det simpelthen allerede udviklede metoder til at få reklamer ind på de gratis apps på.
Tre SSL-sårbarheder
Opsnapningen af oplysninger fra en Android-mobil kan ifølge sikkerhedseksperten foregå via tre typiske sårbarheder i den måde, som eksempelvis brugerdata, billeder, passwords og backup-forespørgler bliver sendt over netværket på.
"Først og fremmest kigger flere libraries ikke på tilliden til sikkerhedscertifikatet i SSL-kommunikationen med cloud-serveren," siger han om den mest udbredte sårbarhed.
Det betyder, at der kan være benyttet et sikkerhedscertifikat til cloud-servicen, som reelt ikke er gyldigt.
Dernæst nævner han, at libraries kan ignorere SSL-fejl som eksempelvis, at sikkerhedscertifikatet er udløbet.
"Det kender du måske fra hjemmesider, der advarer dig om et måske-usikkert sikkerhedscertifikat, hvor mange bare trykker på at ignorere advarslen," lyder det fra Jens Christian Høy Monrad.
Den tredje og mindst udbredte sårbarhed er, at biblioteket ikke verificerer, om det reelt kommunikerer med den rigtige hjemmeside - det som Jens Christian Høy Monrad kalder for manglende host-name verifyer.
"I mange tilfælde benytter apps sig af eksempelvis SSL til login og valideringsprocessen af en bruger, men efterfølgende ser vi kommunikationen ske i klar-tekst via HTTP, hvilket heller ikke er sikker," nævner han.
Skumle apps sladrer
Udover disse tre sårbarheder omkring SSL-kommunikationen mellem apps og bagvedliggende cloud-services påpeger sikkerhedseksperten, at der en anden stor sikkerhedsudfordring i Android-systemets måde at gemme såkaldte tokens på.
En token er data om brugeren, som (desværre) også kan kapres via en fil i ældre Android-versioner.
"Udover at koble sig til app'ens cloud service via en sikker HTTPS-forbindelse, bliver informationer om eksempelvis user-id gemt i Logcat, der er en lokal fil i et Android-system, som alle apps kigger ned i. Hvis du så har en skummel lommelygte-app, kan den læse med og sende informationerne til kriminelle bagmænd," forklarer Jens Christian Høy Monrad.
Her tilføjer sikkerhedseksperten, at Google har fikset denne tilgang til fælles app-filer fra version 4.1 (Jelly Bean) og op, hvilket derfor er en rigtig god ide at opgradere til.
"På 'rootede' enheder kan applikationerne dog benytte andre metoder til at få læseadgang, da root-processen fjerner en række sikkerhedsmekanismer," advarer Jens Christian Høy Monrad de Android-brugere, der har haft lyst til at pille og personificere deres telefoner.
Lidt dovne udviklere
Samtidig siger han, at mange af de brugte app-libraries ikke benytter tidsspærringer og sletning af gamle tokens, hvilket ellers kunne reducere problemstillingen væsentligt.
"Problemet med tidsubegrænsede og gamle tokens er, at en man-in-the-middle kan kigge i Logcat-filen og overtage sessioner, og derved reelt få adgang til brugernavne, passwords og andre ting, der ligger i Logcat-filen," siger Jens Christian Høy Monrad.
"Disse problemstillinger kunne man relativt nemt styre uden om, hvis man programmerede sine apps til, at telefonen under en session skulle validere sig selv mod cloud-servicen. Men hvis jeg skal være helt ærlig, så er programmørerne måske lidt dovne, når de ikke benytter helt sikre libraries," fortsætter han.
Hvad kan du gøre?
Sikkerhedseksperten nævner, at en app som fotoprogrammet Camera360 er en af de mange sårbare apps, der er i farezonen for at blive udsat for ovenstående trusler.
Ifølge Google Play-butikken er Camera360 hentet et sted mellem 10 millioner og 50 millioner gange,
Her kan du gå i dybden med FireEyes analyse af, hvordan alle de nævnte sårbarheder kan ramme en Camera360-bruger.
Den dårlige nyhed til Android-brugerne er, at de stort set ikke kan gøre noget ved problemstillingen.
Det skyldes, at sårbarhederne ligger i den måde, som Android-systemet er skruet sammen på og i den måde, som apps er programmeret og deres kommunikation med diverse cloudservices.
"Derfor skal man som altid benytte sin sunde fornuft, når man henter apps. Blandt andet skal du kigge grundigt på, hvad en given app skal have adgang til på din telefon. En lommelygte-app behøver jo ikke adgang til alt muligt," siger Jens Christian Høy Monrad.
Et andet råd fra sikkerhedseksperten er at undersøge, om du kan og skal hive anti-malware ned på din telefon, hvilket du kan finde inspiration til i denne artikel.
Google fejler i stor sikkerhedsopdatering - din Android-telefon kan være i fare
Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon
Nu kommer næste version af Android: Her er Marshmallow