Studerende afslører kritiske sikkerhedsbrud i 9 af 21 analyserede apps

Del

Millioner af mennesker bruger hver dag forskellige apps til at kommunikere med deres venner, tracke deres løbeture, overføre penge eller tjekke deres coronatestsvar. Mange af disse apps bruger og tracker personoplysninger, og derfor er sikkerheden vigtigere end nogensinde før. Men hvor sikre er de egentlig?

Datalogistuderende Anna Mie Hansen. Foto: privat
Datalogistuderende Anna Mie Hansen. Foto: privat

Som afslutning på kandidatkurset Network Security ved Aarhus Universitet undersøgte 28 grupper af studerende en række populære apps, fra Danmark, Tyskland og Slovakiet samt internationale brands, for eventuelle trusler og sårbarheder. Af de 21 analyserede apps, viste 9 sig at have sårbarheder, der gav anledning til en opfølgende sårbarhedsanalyse. De studerende har indtil videre fået kontakt til ca. halvdelen af virksomhederne bag disse apps for at fremlægge deres resultater. Nogle af de identificerede fejl handlede om usikre internetforbindelser, som gør det muligt for hackere at opfange følsomme oplysninger, hardcodede hemmeligheder, svag autentifikation og brud på brugerens privatliv.

De studerende valgte selv den app, de ville analysere, men det var et krav, at appen på en eller anden måde håndterede persondata eller følsomme data. Datalogistuderende Anna Mie Hansen valgte at arbejde med en post-app, mens Anders Lindskov Kloborg and Christian Mørup som læser computerteknologi analyserede en app, som bruges til styring af lønudbetalinger (navne på virksomheder er udeladt af hensyn til fortrolighedsaftaler). Begge grupper fandt sårbarheder i deres analyser.

Anders og Christian valgte en app, som er meget relevant for dem selv, fordi de begge to bruger den til at registrere arbejdstimer og modtage lønsedler i forbindelse med deres studiejob. Appen har adgang til mange forskellige følsomme data, som for eksempel brugernavne, adresser, CPR-numre og lønoplysninger.

Vores analyse viste, at der var en sikkerhedsbrist, som betød, at vi kunne nulstille adgangskoden for en hvilken som helst bruger i systemet og få adgang til eller ændre brugerens personlige oplysninger. Det vil sige, at en ondsindet angriber vil kunne ændre en hvilken som helst brugers bankoplysninger og få indbetalt brugerens løn på en anden konto,” forklarer Anders og Christian, og fortsætter: ”Vi fandt også en måde at få adgang til API-nøglen til Google Maps, og en ondsindet bruger ville kunne udnytte den adgang til at bruge penge på Google Maps på virksomhedens vegne. Begge resultater kom som en overraskelse for os, fordi appen har mange brugere og håndterer flere forskellige typer af persondata.”

Alle grupperne henvendte sig til virksomhederne for at præsentere dem for deres resultater og mulige løsninger på de afdækkede problemstillinger. Der er blevet etableret kontakt til ca. halvdelen af virksomhederne.

Anna havde held med at få kontakt til den virksomhed, der stod bag den app, hun analyserede. ”Jeg fremlagde nogle af mine resultater for virksomheden. De sagde ’tak for det’, men så hørte jeg ikke mere, og indtil videre har de ikke opdateret deres app. Så jeg går ud fra, at appen stadig har den samme sårbarhed”. Anders og Christian havde mere held med deres henvendelse: “Vi kontaktede virksomheden, og de vendte meget hurtigt tilbage og bad om et møde med os. De reagerede enormt positivt på vores henvendelse. Faktisk endte de med at ansætte os på en konsulentkontrakt, så vi kunne køre endnu en ’penetration test’ på deres app, efter at de havde forsøgt at rette sikkerhedsfejlen. Vi er stadig i dialog med dem omkring resultatet af den sidste test, men vi regner med, at de får rettet op på problemet med sårbarhederne,” siger Anders og Christian.

Nøgleord

Kontakter

Lektor Diego F. Aranha (engelsk) - dfaranha@cs.au.dk
Datalogistuderende Anna Mie Hansen - 201506437@post.au.dk
Kommunikationsmedarbejder Sofia H. Rasmussen - sofia@cs.au.dk

Billeder

Datalogistuderende Anna Mie Hansen. Foto: privat
Datalogistuderende Anna Mie Hansen. Foto: privat
Download
Anders Lindskov Kloborg og Christian Mørup læser computerteknologi ved AU Engineering. Foto: privat
Anders Lindskov Kloborg og Christian Mørup læser computerteknologi ved AU Engineering. Foto: privat
Download

Links

Information om Aarhus Universitet Natural Sciences

Aarhus Universitet Natural Sciences
Ny Munkegade 120
8000 Aarhus C

8715 0000https://nat.au.dk/

Institut for Datalogi udbyder bachelor og kandidatuddannelser i Datalogi og IT-Produktudvikling. Instituttet har 150 ansatte og ca. 1000 studerende. Forskningsmæssigt står Instituttet stærkt inden for både teoretisk og eksperimentel datalogi. 

Følg pressemeddelelser fra Aarhus Universitet Natural Sciences

Skriv dig op her, og modtag pressemeddelelser på e-mail. Indtast din e-mail, klik på abonner, og følg instruktionerne i den udsendte e-mail.

Flere pressemeddelelser fra Aarhus Universitet Natural Sciences

I vores nyhedsrum kan du læse alle vores pressemeddelelser, tilgå materiale i form af billeder og dokumenter samt finde vores kontaktoplysninger.

Besøg vores nyhedsrum