forerkort
Førerkort-appen har ikke den aller beste sikkerheten, spesielt ikke på Android som ofte er utsatt for skadevareapper som stjeler informasjon fra andre apper.

Annonse


Norsis: – Førerkort-appen kan brukes uten bekymring

Det norske sikkerhetsselskapet Promon har undersøkt Samferdselsdepartementets førerkort-app.

Oppdatert, 8. oktober, 17:42:

Norsk senter for informasjonssikring (Norsis) mener appen er trygg, opplyser departementet.

Her er svaret fra Samferdselsdepartementet:

Annonse


“Statens vegvesen jobber kontinuerlig med sikkerhet i app-løsningen og har utført flere eksterne tester av systemet.

Vi viser også til at Norsk senter for informasjonssikring (Norsis) nylig har uttalt at dette er en løsning man bør benytte uten å bekymre seg.”

– Ikke sikker nok

Samferdselsdepartementet skal ha all ære for å lansere førerkort som app slik at man slipper ha med seg et fysisk kort, men hvordan står det til med sikkerheten i en såpass sensitiv app? Ikke alt er på topp, ifølge Promon som har kjørt såkalte “app penetrasjonsstester” på appen med et egetuviklet verktøy.

Les intervjuet vårt med Promon nedenfor.

Promon sier de meldte “alle funn og sikkerhetsutfordringer til Vegvesenet. De mottok dette tidlig forrige uke.” ITavisen har også kontaktet Samferdselsdepartementet

Selskapet konkluderer følgende.

  • Appen ser ut til å lagre sensitiv data på en trygg måte, men mangler funksjonalitet som hindrer skadevare i å lese av sensitiv informasjon fra appen slik som personnummer, førerkortnummer, og kontrollkode. Det er også mulig for skadevare å ta skjermdumper av førerkortet når appen vises (runtime). Dette er en metode mange aktive skadevarer der ute benytter seg av.
  • Den har heller ikke beskyttelse mot kode-endringer mens appen kjøres på en enhet – f.eks kan en annen app injisere instruksjoner i appen uten at brukeren kan se det. Ei heller ser det ut som at appen gjør noen vurderinger om hvorvidt sikkerhetsinnstillingene på enheten til brukeren er tuklet med eller ikke (Rooting)
  • Appen mangler grunnleggende sikkerhet for å hindre noen i å endre appen, for så å re-distribuere den med f.eks skadevare.
  • Appenbenytter ikke obfuskering, som kan gjøre jobben med å utvikle målrettet skadevare mer tidkrevende.
  • Det er også mulig for hackere å logge det som skrives inn i appens tekstfelter. Dermed kan koder og passord stjeles av skadevare som har dette som hensikt.

Intervju

Vi spurte Lars Lunde Birkeland hos Promon hva som er de potensielle truslene mot appen:

Trond: – Er det du og dine kolleger som har testet appen?

Lars: – Våre sikkerhetseksperter brukte noen få minutter med app penetrasjonsstester som vi har utviklet og fant at det ikke var noen som helst hindringer for oss. Vi kunne hente alle data om vårt eget førerkort fra appen når den kjører. Skadevare kan dermed tenkes å gjøre det samme.

Trond: – Er dette en vanlig feil i apper? Hva brukes i apper for å stoppe at skadevare leser info fra appen, og fordrer dette ta brukerens mobil allerede er angrepet av skadevare på Android?

Lars: – Vi er ikke så overrasket over at Vegvesenet ikke har implementert denne typen sikkerhet. Appsikkerhet har gått litt under radaren til mange selskaper. Samtidig har de med ondsinnede hensikter flyttet seg fra PC til mobilen for å gjennomføre svindel og stjele persondata. Og skadevare på Android er et voksende problem. Senest i dag ble det oppdaget 172 apper med skadevare på Google Play som er lastet ned av 335 millioner brukere. Kilde: The Next Web.

En bransje som i mange år har vært langt fremme med å ta i bruk disse sikkerhetsmekanismene i appene sine er bankindustrien. Men vi ser nå også økt oppmerksomhet rundt appsikkerhet fra andre bransjer som f.eks. helse og telekom. Du vil ofte finne denne typen sikkerhet i bank-apper, betalings-apper, autentiserings-apper, nøkkel-apper (hotellnøkler, bilnøkler), rett og slett alle apper som inneholder sensitiv informasjon (som vil være av verdi for en angriper).

Dette er sikkerhetsfuksjonalitet som ikke krever mye implementasjonstid av utviklerne som lager appen. Noe kan man gjøre selv, mens annen sikkerhetsfunksjonalitet kan det være lurt å sette ut til eksperter på fagfeltet. Gartner har valgt å kalle teknologien «In-App Protection / App Shielding», og det finnes flere leverandører av teknologien globalt, inkludert oss i Promon.

Vi testet først og fremst Android, men noen av punktene som vi beskriver kan også gjennomføres på iOS (som for eksempel at skadevare tar skjermdumper). For at en angriper skal kunne gjennomføre angrepsmetodene vi har beskrevet så må brukerens telefon være kompromittert med skadevare. Det finnes skadevare som benytter disse teknikkene for å angripe bank og betalingsapper først og fremst, og disse er i framvekst.

“Worst case” i dette tilfellet er at det lages og distribueres skadevare som også har Førerkort-appen som et av sine mål for å hente ut sensitive persondata.

Trond: – Er det tradisjon for apper og ha denne teknikken innbakt? Gjelder dette kun Android?

Lars: – Dette gjelder Android i våre tester. Mange har denne teknologien implementert. Igjen så vil du se at de fleste bank-apper har denne beskyttelsen, nettopp for å sørge for at det ikke dukker opp kopier av appen og merkevaren deres i appbutikkene.

Appen mangler også beskyttelse mot kodeendringer mens appen kjører på en enhet: for eksempel kan derfor en annen app skyte inn kode i appen uten at brukeren oppdager det. Det ser også ut til at appen ikke tar hensyn til om Android-enheten er rootet eller ikke.

Trond: – Hvilken Android-skadevare må være installert for at dette skal skje og hvor høy er egentlig sannsynligheten for at dette skjer?

Lars: – Skadevare som leser av skjermen er en av metodene mange av de mest utbredte ondsinnede appene der ute benytter seg av. Først og fremt gjelder dette skadevare som har bank-apper som mål. Det er vanskelig å si mye om sannsynligheten. Men det er ofte viktig for en eventuell angriper at appen som skadevaren målrettes mot har mange brukere og at et eventuelt angrep er skalerbart. Derfor kan man ikke utelukke vårt «worst case scenario» beskrevet ovenfor.

Annonse