Een BBC News project illustreert hoe makkelijk het wordt om besmette toepassingen te bouwen voor smartphones.
In een artikel stelt de BBC in een paar weken tijd een spelletje voor smartphones te hebben geprogrammeerd op basis van standaardonderdelen uit ontwikkelingskits. Ca. 250 lijnen van de in totaal 1500 lijnen code werden aangewend voor ‘spyware’-doeleinden. Daarmee kon informatie worden gestolen die opgeslagen of ingevoerd is in de smartphone. Cruciaal daarbij was dat het spyware-gedeelte zelf gebruik (of eigenlijk misbruik) maakte van legitieme functies voor het raadplegen van contactinformatie en de locatie-informatie van de smartphone.
Evolutie
Aan het project werd overigens ook meegewerkt door Chris Wysopal, medestichter van Veracode, een bedrijf dat tools maakt voor de analyse van security-code. Hij stelt dat de huidige toestand van malware voor smartphones gelijkenissen vertoont met de toestand op pc’s in 1999. Malware was toen nog meer ‘iets vervelends’, niet de georganiseerde misdaad van tegenwoordig.
Duidelijk daarbij is dat ook de aard van aanvallen in smartphones verandert. Naast het misbruik van de smartphone voor het verzenden van dure berichtjes ten koste van de rekening van de gebruiker, wordt nu ook meer gemikt op de informatie in die smartphones (en het gebruik ervan, bijvoorbeeld voor betalingsdoeleinden).
Een project van het security-bedrijf Lookout – het ‘App Genome’ project – heeft al 100.000 toepassingen voor mobiele systemen doorgelicht. Daaruit bleek dat ongeveer een derde van de gratis apps gebruik maakt van de locatie-informatie (33 procent iPhone, 29 procent Android), en 14 (iPhone) tot 8 procent (Android) van de contactdata. Verder blijken Android apps meer code van derden te hergebruiken dan iPhone apps.
Verwacht wordt dat malafide personen bestaande populaire apps zullen aanpassen voor hun doeleinden en via gepirateerde exemplaren de smartphones zullen besmetten. Ongeacht alle klachten zou dat dan in het voordeel pleiten van een beperkt aantal bronnen van gecontroleerde software, zoals de huidige ‘app winkels’ (Apple’s AppStore, Nokia’s Ovi, Android’s App Marketplace en RIM’s App World). De uitdaging hierbij is om onderscheid te maken tussen apps die een geëigend, respectievelijk malafide gebruik maken van een rits legitieme functies.
Adviezen
Het BBC artikel vermeldde een aantal voorzorgsmaatregelen die gebruikers van smartphones kunnen nemen.
– Vraag wie een stuk software/app heeft ontwikkeld, en hoe betrouwbaar die bron is.
– Back-up de data in je smartphones, om verlies ervan bij problemen te voorkomen.
– Als de batterij van je toestel erg snel leegloopt, kan dat wijzen op (intensief) misbruik ervan.
– Controleer de afrekening van het smartphone-gebruik op afwijkend gebruik.
De BBC heeft opnieuw de wereld van malware verkend! Sommige lezers van bovenstaand artikel kunnen zich wellicht herinneren dat de BBC dat al eerder gedaan heeft. Zo heeft de BBC in maart 2009 al eens een ?botnet? aangeschaft. En kort daarna kochten ze persoonlijke gegevens, zoals creditcardnummers, van een “makelaar” van dergelijke gegevens in India.
Er is dan wel geen sprake van een wet die geschonden wordt – de BBC heeft de applicatie niet gedistribueerd – echter wij vinden wel dat er sprake is van onethisch en onverstandig handelen. Er is al genoeg malware in omloop zonder dat de ?good guys? hun eigen kwaadaardige of potentieel schadelijke codes ontwikkelen. Dit wordt maar al te duidelijk in Denis Maslennikov?s blog
http://www.securelist.com/en/blog/2254/First_SMS_Trojan_for_Android
David Emm, Senior Regional Researcher, Global Research & Analysis Team Kaspersky Lab