Android är världens mest populära mobila operativsystem. Det är också ett operativsystem som har omfattande problem med säkerhet. Viktiga säkerhetsuppdateringar skickas inte ut i tid till användare, vilket gör att stora säkerhetshål lämnas öppna för många användare under långa perioder. Problemen med operativsystemets säkerhet slutar dock inte där. Android har också avsiktliga säkerhet- och sekretessproblem som är relaterade till appars behörigheter. Google känner till problemen men har inga planer på att lösa dem.

Frågar efter tillgång

Vid lanseringen av Android 6, för snart två år, ändrade Google sitt system för att be användare om tillgång till olika delar av Android-telefoners tjänster och information. Nu måste användare appar be om behörighet till olika delar av telefonen, när denna tillgång behövs. I äldre versioner av Android frågade appar om alla sina behörigheter vid installation. Det gjorde det svårt för användare att veta varför appar krävde tillgång till vissa saker och det var omöjligt att stoppa en specifik app från att till exempel få tillgång till telefonens kontaktlista. I de senaste versionerna av Android måste appar be om tillgång till kontaktlistan när kontaktlistan behövs. Användaren har då möjlighet att neka eller tillåta förfrågan. Alla behörigheter syns dock inte för användaren.

Android har ett flertal behörigheter som appar kan få tillgång till utan att användaren får reda på det. Under slutet av förra månaden bekräftade forskare på Georgia Tech och University of California att appar kan utnyttja dessa gömda behörigheter för att till exempel se vilket lösenord en användare skriver in i en app eller lura en användare att den besöker sin bankapp, när den i själva verket skriver in sin information i en skadlig app.

Behörighet utan tillstånd

De speciella behörigheterna som inte behöver tillstånd från användaren kallas för ”Avancerade” behörigheter. Dessa behörigheter är främst tänkta att hjälpa personer med funktionsnedsättning men de kan också användas av appar så som LastPass och Facebook Messenger. De avancerade behörigheterna kan ha olika namn på olika telefoner men kallas oftast bland annat ”Rita över andra appar” eller ”Överlagring på andra appar”. Behörigheten gör det möjligt för en app att både visas ovanför operativsystemet och andra appars användargränssnitt. Facebook Messenger utnyttjar detta för att visa så kallade chattbubblor ovanpå användargränssnittet. Med chattbubblor kan pågående konversationer representeras av runda bilder som flyter ovanför andra appar.

Facebook Messenger visar en chattbubbla ovanpå Google Play Butik-appen.

Appar så som Facebook Messenger kan alltså visas ovanför andra appar och de har alltså möjlighet att göra det utan att informera användaren eller få godkännande från användaren. Denna behörighet är inbyggd i Android och är tänkt att fungera på det sättet som den gör. Problemet är att skadliga appar kan utnyttja behörigheten för att placera sig själv ovanför andra appar och till exempel lura användaren att den ska logga in i sin bank- eller sociala medier-app. Samtidigt kan den skadliga appen samla in användarens lösenord eller lura den att klicka på en länk. Den skadliga appen kan kort sagt visa vad den vill på användarens skärm och lura den att göra nästan vad som helst.

Exempel från forskarna visar hur en skadlig app kan utnyttja Androids behörigheter.

Avsiktligt säkerhetshål

Den speciella typen av avancerad behörighet ger Android viss funktionalitet som inte finns tillgänglig i konkurrerande operativsystem. Den skapar dock också ett betydande säkerhetsproblem. Likt många andra säkerhetsproblem kan problemet dock bara utnyttjas om en användare först installerar en skadlig app. Forskarna från Georgia Tech och University of California har emellertid visat att appar som utnyttjar säkerhetsproblemet har gått obemärkta genom Google Play, även ett år efter att Google informerades om det. Google menar att säkerhetsproblemet är en konsekvens av systemets design och att det inte är ett oavsiktligt problem. Google har med andra ord inga planer på att lösa det.

Problemet som säkerhetsforskarna belyser är allvarligt men kommer förhoppningsvis inte bli ett praktiskt problem för många användare. I slutänden visar det ändå vikten av att endast installera pålitliga appar från pålitliga utvecklare och pålitliga källor.

Kontrollera appars behörigheter

Det påminner också Android-användare om vikten av att kontrollera appars tillgång till olika behörigheter. Nedanför kan du läsa en artikel om hur du kontrollerar dina installerade appars behörighet. Där får du lära dig grunderna i hur du kontrollerar appars tillgång till din telefons platsinformation. Grunderna är identiska för andra normala behörigheter.

Få koll på apparna som vet var du är

I artikeln ovan nämner vi inte hur du kontrollerar de ”Avancerade” behörigheterna. Dessa syns nämligen inte på samma plats som de normala behörigheterna. För att kontrollera dessa behöver du istället gå till Inställningar —> Appar/Program —> Klicka på de tre punkterna längst upp till höger —> Konfigurera appar —> Särskild åtkomst —> Rita över andra appar/Överlagring på andra appar. På Samsung-mobiler finns alternativet ”Särskild åtkomst” innan ”Konfigurera appar”. Den exakta vägen till behörighetsöversikten kan skilja sig ytterligare på andra telefoner.

Källa: Cloak & Dagger (Forskares hemsida)

LÄMNA ETT SVAR

Please enter your comment!
Please enter your name here