Forskere har opdaget en alvorlig sårbarhed, der gør det muligt at narre dig til at give adgang til kamera, bankapp og personlige data – uden du opdager det. Sådan undgår du at blive ramt.
Lige nu læser andre
En nyopdaget sikkerhedssårbarhed i et mobilsystem gør det muligt for en usynlig app at narre brugeren til at udføre potentielt skadelige handlinger skriver mediet kleinezeitung.
Det viser et forskerhold fra Wiens Tekniske Universitet (TU Wien), der netop har præsenteret deres resultater for Androids sikkerhedsteam og planlægger at offentliggøre dem på sikkerhedskonferencen USENIX i Seattle.
Den usynlige app
Forskerne Philipp Beer, Sebastian Roth, Marco Squarcina og Martina Lindorfer har demonstreret, hvordan en tilsyneladende harmløs app kan starte en anden app i forgrunden – uden at brugeren kan se det.
Appen, som vises med gennemsigtighed, kan manipuleres af brugerens tryk på skærmen, som om det var den oprindelige app.
Læs også
I et eksperiment designede forskerne et simpelt spil, hvor brugeren skulle trykke på insekter på skærmen. Bag spillet åbnede forskerne en anden app i forgrunden – usynligt. Brugeren troede stadig, de spillede, men trykkede i virkeligheden på knapper i en anden applikation.
Testpersonerne blev således narret til at give adgang til eksempelvis kameraet uden at opdage det. Ifølge forskerne kunne samme metode i princippet bruges til at åbne bankapps eller slette data.
Ingen skade – endnu
TU Wien undersøgte 100.000 apps i Google Play Store og fandt ingen eksempler på misbrug af sårbarheden. Men holdet understreger, at problemet bør løses, før det bliver udnyttet.
Google og Android-teamet er allerede orienteret. Firefox og Google Chrome har opdateret deres apps for at lukke sårbarheden, og det sikkerhedsorienterede operativsystem GrapheneOS har også lukket hullet.
Sådan beskytter du dig
Brugere bør undgå at installere apps fra ukendte kilder og holde øje med indikatorer i statuslinjen, der viser, om kamera eller mikrofon er aktiv. For ekstra sikkerhed kan animationer deaktiveres via indstillinger under “Tilgængelighed”.