Mobilsiden.dk  /   Nyhedsoversigt  /   Forskere: vi kan hacke Gmail app’en

Forskere: vi kan hacke Gmail app’en

Det er lykkedes for et hold amerikanske forskere at bryde ind i 92% af Gmail konti.

Ved at forklæde ondsindet software i som uskyldige apps, kan forskere fra Californiske UCR universitet hacke sig ind og stjæle både login-info og password. Det skriver BBC.com.

Selve hacket blev påvist i en Android telefon, men forskerne mener, at lignende angreb kan udføres på andre platforme som Apples iOS eller Microsoft Windows.

Udover Googles populære mail-applikation fik UCR-holdet lirket sig ind i apps fra Newegg, WebMD, Chase Bank, hotels.com, Amazon og H&R Block. Amazons app var den sværeste at bryde ind i med en succes-rate på under 48%.

Suger passwords ud af hukommelsen

Det ondsindede angreb udføres ved at skjule kode i en app med uskyldig udseende, eksempelvis en Wallpaper-app. Når denne er installeret kan hacker-koden indskyde et falsk, men vellignende indtastningsfelt, hvor brugerne uvidene vil taste følsomme oplysninger ind.

Læs også: Russere hacker 1,2 millarder profiler

Ved at indsætte et falsk login vindue i en app som gmail eller amazon kan forskernes app derfor hive både login-oplysninger og passwords ud af den ramte enhed. Denne type angreb skulle ellers ikke være mulig påpeger UCR-professor Zhiyun Qian.

Det er en udbredt antagelse at det er svært for apps at få adgang til hinandens ressourcer. Det er en forkert antagelse for en enkel inficeret app kan få adgang til sårbare oplysninger med uheldige konsekvenser til følge

Forskerholdet har også haft succes med at hacke sig ind i blandt andet kamera-app’en. Derfra kunne den ondsindede app stjæle fotos efterhånden som de blev taget.



Læs hele UCR-holdets rapport her.

Rapporten demonstrerer endnu en gang de risici forbundet ved at installere software fra ukendte kilder, uden om de beskyttede app-butikker som Google Play Store eller Apple App Store.

Forrige artikel Næste artikel

Få notikationer:

Læs Mobilsidens debatregler her


Kommentar

saliuu 25-08-2014 18:36:57

"Ved at analysere hukommelsen indhold kunne forskernes kode hive både login-oplysninger og passwords ud af RAM´en. Denne type angreb skulle ellers ikke være mulig påpeger UCR-professor Zhiyun Qian."
Login oplysinger og passwords befinder sig ikke I RAM'en, så nej man kan ikke "suge passwords ud af hukommelsen", hverken jer eller BBC valgte at læse UCR rapport I linker til, da I ville have vidst at måden de kunne få adganskoden ville foregå med UI hacking, og på intet tidspunkt nævner de RAM.

6 0
Niels de Boissezon 26-08-2014 15:17:56

Hej Saliuu,

Jeg kiggede skam rapporten igennem, men skal også ærligt indrømme at jeg ikke har den fornødne IT-sikkerhedsbaggrund for at vurdere det den beskriver. Derfor har jeg lænet mig op af hvad BBC har skrevet - hvilket så desværre er forkert.

Jeg skal nok overveje mine kilder en ekstra gang fremover, men når selv hæderkronede BBC vrøvler til tider, er det ikke nemt altid at ramme plet.

Venligste hilsener,
Niels /mobilsiden.dk

1 0
Thomas Larsen 26-08-2014 15:36:44

Hvis rapporten er for meget at tygge på, så er der også (inkl. videoer) forholdsvist nem version af problemet på deres site: https://sites.google.com/site/uistateinferenceattack/ui-state-inference-attack

2 0
Niels de Boissezon 26-08-2014 16:05:56

Smukt. 1000 Tak for linket! Jeg har opdateret artiklen.

Venligste hilsener,
Niels /mobilsiden.dk

2 0
Thomas Larsen 25-08-2014 17:27:34

Der hentes ingen legitimationsoplysninger ud af hukommelsen, rimelig fatal fejl at begå.

3 1

Om brug af cookies