Studerende afslører kritiske sikkerhedsbrud i 9 af 21 analyserede apps

Studerende afslører kritiske sikkerhedsbrud i 9 af 21 analyserede apps

Apps er ikke nødvendigvis så sikre som vi går og tror - det har en gruppe studerende fra Aarhus Universitet lige vist

Som afslutning på kandidatkurset Network Security ved Aarhus Universitet undersøgte 28 grupper af studerende en række populære apps, fra Danmark, Tyskland og Slovakiet samt internationale brands, for eventuelle trusler og sårbarheder. Af de 21 analyserede apps, viste 9 sig at have sårbarheder, der gav anledning til en opfølgende sårbarhedsanalyse. De studerende har indtil videre fået kontakt til ca. halvdelen af virksomhederne bag disse apps for at fremlægge deres resultater. Nogle af de identificerede fejl handlede om usikre internetforbindelser, som gør det muligt for hackere at opfange følsomme oplysninger, hardcodede hemmeligheder, svag autentifikation og brud på brugerens privatliv.

De studerende valgte selv den app, de ville analysere, men det var et krav, at appen på en eller anden måde håndterede persondata eller følsomme data. Datalogistuderende Anna Mie Hansen valgte at arbejde med en post-app, mens Anders Lindskov Kloborg and Christian Mørup som læser computerteknologi analyserede en app, som bruges til styring af lønudbetalinger (navne på virksomheder er udeladt af hensyn til fortrolighedsaftaler). Begge grupper fandt sårbarheder i deres analyser.

Anders og Christian valgte en app, som er meget relevant for dem selv, fordi de begge to bruger den til at registrere arbejdstimer og modtage lønsedler i forbindelse med deres studiejob. Appen har adgang til mange forskellige følsomme data, som for eksempel brugernavne, adresser, CPR-numre og lønoplysninger.

Vores analyse viste, at der var en sikkerhedsbrist, som betød, at vi kunne nulstille adgangskoden for en hvilken som helst bruger i systemet og få adgang til eller ændre brugerens personlige oplysninger. Det vil sige, at en ondsindet angriber vil kunne ændre en hvilken som helst brugers bankoplysninger og få indbetalt brugerens løn på en anden konto,” forklarer Anders og Christian, og fortsætter: ”Vi fandt også en måde at få adgang til API-nøglen til Google Maps, og en ondsindet bruger ville kunne udnytte den adgang til at bruge penge på Google Maps på virksomhedens vegne. Begge resultater kom som en overraskelse for os, fordi appen har mange brugere og håndterer flere forskellige typer af persondata.”

Alle grupperne henvendte sig til virksomhederne for at præsentere dem for deres resultater og mulige løsninger på de afdækkede problemstillinger. Der er blevet etableret kontakt til ca. halvdelen af virksomhederne.

Anna havde held med at få kontakt til den virksomhed, der stod bag den app, hun analyserede. ”Jeg fremlagde nogle af mine resultater for virksomheden. De sagde ’tak for det’, men så hørte jeg ikke mere, og indtil videre har de ikke opdateret deres app. Så jeg går ud fra, at appen stadig har den samme sårbarhed”. Anders og Christian havde mere held med deres henvendelse: “Vi kontaktede virksomheden, og de vendte meget hurtigt tilbage og bad om et møde med os. De reagerede enormt positivt på vores henvendelse. Faktisk endte de med at ansætte os på en konsulentkontrakt, så vi kunne køre endnu en ’penetration test’ på deres app, efter at de havde forsøgt at rette sikkerhedsfejlen. Vi er stadig i dialog med dem omkring resultatet af den sidste test, men vi regner med, at de får rettet op på problemet med sårbarhederne,” siger Anders og Christian.

- lb