Pokemon Go-mani kan gøre Android-telefoner sårbare for malware-angreb

Pokémon Go giver spillerne mulighed for at gå på jagt efter Pokémoner i nabolaget ved hjælp af Augmented Reality. Illustration: Google Play
Nintendos spilhit er ikke officielt lanceret i Danmark, men sideloading gør det alligevel muligt at installere spillet på Android. Men det er en risikabel adfærd.

Hvis du i løbet af weekenden har set besynderlige opdateringer fra dine venner på sociale medier om jagt på Pokémoner rundt om i Danmark, så er det spillet Pokémon Go, der har ramt verden som app-verdenens svar på popmusikkens sommerhit.

Spillet er imidlertid ikke udkommet officielt i Danmark endnu, og det betyder, at især Android-brugere, der er ivrige efter at fange Squirtles og Pikachuer på gågaden i Holstebro, risikerer at efterlade deres telefoner sårbare over for malwareangreb.

Man kan nemlig installere spillet ved hjælp af sideloading. Det betyder, at man går uden om den normale app-butik på sin Android-telefon og henter applikationen som en APK-fil fra en anden kilde.

Det er i sig selv risikabelt at hente og installere en applikation fra en kilde, man ikke nødvendigvis ved, om man kan stole på. Sikkerhedsfirmaet Proofpoint skriver i et blogindlæg, at der få dage efter den officielle lancering i USA er fundet en kopi af Pokémon Go, som er blevet inficeret med en bagdør.

Når man sideloader en Android-applikation, så er der ikke garanti for, at det er den officielle version, man får fat i, og ikke en udgave der er pakket om sammen med en bagdør.

»Trojaniserede udgaver af kendte apps er den mest populære metode til at inficere Android-telefoner. Sideloading er nok hovedårsagen til, at vi har set en markant stigning i antallet af inficerede Android-enheder i det sidste år,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2.

For at kunne sideloade en applikation, så skal man ændre en indstilling, hvor man giver tilladelse til at installere apps fra ukendte kilder. Man får en sikkerhedsadvarsel, fordi det kan være risikabelt at åbne telefonen for ukendte apps, hvor hverken udvikler eller distributør kan identificeres, sådan som det er muligt via de officielle app-butikker.

Sideloading er egentligt beregnet til eksempelvis app-udviklere, som kan teste deres applikationer, eller til brug i virksomheder, som kan installere egenudviklede apps uden om app-butikkerne.

Men hvis man ikke lukker for adgangen til at installere apps via sideloading, så står telefonen åben for at installere potentielt ondsindede apps fra hvilken som helst kilde.

Samtidig kan det være fristende at lede efter gratis udgaver af apps, der normalt koster penge, men kan findes på diverse app-distributionssider.

»Der er millioner af apps uden for app-butikkerne. Hvis man skyder genvej og henter fra andre kilder, så risikerer man at få en trojaniseret udgave af app'en. Man skal lade være med at praktisere sideloading, for man risikerer, at éns telefon bliver til en 'bot'. Hvis en app koster penge, men man kan finde den gratis på et andet site, så er den nok trojaniseret,« advarer Peter Kruse.

En smartphone er i princippet lige så effektiv en 'bot' - altså en computer der kan fjernstyres gennem en bagdør - som en pc. Den kan bruges til DDoS-angreb, og det er også muligt at opsnappe personlige oplysninger eller kreditkortinformation.

»Det kræver ikke root-adgang. Hvis du tillader side-loading, så har app'en samme rettigheder som brugeren, og det er rigeligt til at opsnuse oplysninger og misbruge telefonen,« siger Peter Kruse.

Selvom det altså kan være fristende at gå på jagt efter Pokémoner i nabolaget, så er det altså risikabelt at hente spillet fra en uofficel app-butik. God sikkerhedspraksis kræver desværre tålmodighed, da der ikke er sat en officiel lanceringsdato for spillet i Danmark endnu.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Coyle

Hej

Er der så nogen der ved hvordan man sikrer sig, hvis man først har fået den indenbords.
- Er der mulighed for at spore om man er udsat.?
- Er det nok bare at afinstallerer programmet igen?

Jeg kender flere som har downloadet denne, så kom gerne med et par seriøse bud til at hjælpe disse.

God sommer.

  • 0
  • 0
Bent Jensen

Sletter telefon til fabriksstandart, og henter backup. Nok nemmeste hurtigts og sikkers.
Noget man jo nok også har sikkert sig ingen man startet med at hente 3 parts programmer, fra usikkere og ukendte steder.

Men for at være helt sikkert, bør man måkse smide en ny firmaware /software ind, men burde ikke være nødvendigt, hvis man ikke selv har root rettigheder.

Nok derfor at normale bruger ikke gives root adgang, eller at der advares mod 3 parts programmer. ?

Inden du sprøger om hvordan man sletter, laver backup, eller lægger ny firmware ind. GOOGLE det, og læs.

  • 0
  • 1
Søren Fuglede Jørgensen

Hvis du stadig ligger inde med apk'en, kan du eventuelt selv verificere dens integritet ved at udregne dens kontrolsum med et stykke software, der er lavet til det formål; bruger du sha256sum, bør resultatet (for version 0.29.0 så vidt jeg lige kan se på nettet -- dobbelttjek selv) være 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67, hvis du bruger udviklerens egen udgave.

Dette tjek er i øvrigt i bund og grund det samme, som diverse app stores bruger til integritetsverificering, og hvis du selv er i stand til at finde frem til udviklerens kontrolsum, er sikkerheden sådan set bedre, end hvad butikkerne tilbyder, idet du fra et sikkerhedssynspunkt altid kan stole mindst lige så meget på dig selv, som du kan på andre, så det forekommer mig en smule hysterisk som i artiklen at sige, at man aldrig må gøre det på den måde.

  • 2
  • 0
Log ind eller Opret konto for at kommentere