Četrtek, 2. 7. 2020, 10.55
4 leta, 5 mesecev
Kradejo uporabniška imena in gesla za Facebook
Teh 25 aplikacij ne želite imeti na svojem androidu
Francosko podjetje za računalniško varnost Evina je odkrilo 25 aplikacij za mobilne naprave z operacijskim sistemom Android, ki v ozadju svojega formalnega delovanja kradejo uporabniška imena in gesla za družbeno omrežje Facebook.
Po odkritju je Google sporne aplikacije nemudoma umaknil iz tržnice Google Play. Načeloma bi ta Googlova poteza morala poskrbeti tudi za odstranitev že nameščenih teh aplikacij na napravah, če so bile nameščene prek tržnice Google Play, a je vsekakor zelo zaželeno preveriti, da na svoji mobilni napravi nimate kakšne izmed njih – zlasti če za nameščanje aplikacij uporabljate kakšen drug način.
Različne na površini, isti prikriti hudič
Na seznamu teh zlonamernih aplikacij so števci korakov, orodja za svetilko, urejevalniki slik, zaslonska ozadja in drugi – a so te aplikacije različne le na videz in po svojem formalnem namenu. Nekatere izmed teh aplikacij imajo že po več kot pol milijona prenosov.
Zlonamerne aplikacije, ki kradejo uporabniške podatke za Facebook, padajoče razvrščene po številu opravljenih namestitev.
V vseh je namreč skrita skoraj identična zlonamerna programska koda, katere namen je kraja prijavnih podatkov za družbeno omrežje Facebook. Aplikacija namreč poskrbi za prikaz lažnega prijavnega okna za Facebook, kamor nič hudega sluteči uporabnik vpiše svoje podatke. Oddaljeni strežnik, kamor so se pošiljali tako ukradeni podatki, na srečo ne deluje več.
Metoda lažnih prijavnih oken
Tovrstna zloraba na androidih je nekoliko drugačna od večine drugih zlorab na pametnih telefonih, kjer nepridipravi izkoriščajo neprevidnost uporabnikov, ki ob njihovi namestitvi aplikacijam dajejo več pravic, kot bi jih za svoje delovanje potrebovale. Saj res, zakaj že bi aplikacija za prižig lučke na telefonu potrebovala dostop do osebnega imenika in internetne povezave?
Teh 25 aplikacij za svoje nečedno početje raje uporablja pristop, ki smo ga vajeni pri osebnih in prenosnih računalnikih: vsiljevanje lažnih prijavnih oken.
Primer lažnega prijavnega okna v družbeno omrežje Facebook, ki ga ustvarijo omenjene zlonamerne aplikacije
Če še niste, vklopite preverjanje v dveh korakih
Najboljša obramba pred takšnimi zlorabami je vklop preverjanja v dveh korakih povsod, kjer je to omogočeno. S tem tudi ob kraji gesla dostop do računa ne bo mogoč, saj ob vpisu gesla prejme uporabnik na svoj pametni telefon enkratno geslo, brez katerega prijave ni mogoče uspešno zaključiti.
Preverjanje v dveh korakih danes ponujajo Google, Facebook in mnogi drugi, a med redkimi, ki so ta način preverjanje pristnosti uporabljali še veliko prej (čeprav brez navajanja pojma preverjanje v dveh korakih), je Telekom Slovenije – že nekoč samostojna enota mobilne telefonije Mobitel je uvedla takšen način prijave pri storitvi Monitor, s katero uporabniki spremljajo porabo in vse druge lastnosti in funkcije svojega mobilnega naročniškega razmerja.
Dovoljenja naj ne bodo samoumevna
Google sicer zatrjuje, da redno varnostno pregleduje vse aplikacije pred uvrstitvijo na tržnico Play Store, a ob poplavi raznih aplikacij se še vedno dokaj redno dogaja, da mimo vatlov pridejo tudi takšne aplikacije, za katere se pozneje izkaže, da imajo podle namene.
To pa je le še en razlog več za pozornost, tudi takrat, ko aplikacije izbiramo in nameščamo. Predvsem je zelo zaželeno, da aplikacijam ne potrjujejo zahtevanih dovoljenj kar vsepovprek, temveč da skrbno premislimo, ali zahtevano dovoljenje res potrebuje. Še bolje, če smo v dvomih, bolje takšne aplikacije niti ne namestiti.