Det ser ud til, at der er uendelige måder, hvorpå din mobilenhed kan angribes. Med skræmmende mentale billeder af snedige hackere, der hakker løs på vores mobile enheds sikkerhed, er det let at glemme, at den mest almindelige måde, hvorpå en enhed kan blive kompromitteret, er gennem uforsigtige handlinger fra slutbrugerens side. En sådan handling er at sideloade risikable applikationer til enheden.

Hvad er sideloading?

Sideloading er i forbindelse med mobilsikkerhed en proces, hvor man tilføjer en applikation, som ikke er blevet godkendt af udvikleren af enhedens styresystem. Alle applikationer i App Store eller Google Play Store er blevet kontrolleret af de respektive organisationer. Selv om der har været tilfælde af ondsindede apps, der er fundet i både App Store og Play Store (oftere Google Play Store), fungerer de officielle app stores som et ekstra filter, der blokerer langt de fleste ondsindede apps fra at nå slutbrugeren.
Sideloading giver adgang til apps, der ikke er tilgængelige i de officielle app stores af en række forskellige årsager. Apps fra andre kilder er muligvis ikke screenet for sikkerhed og kan have skadelige hensigter, men ofte vil brugerne installere dem på deres enhed og dermed åbne sig selv for trusler. I tilfælde af Apple-enheder kræver dette ofte (men ikke altid), at enheden jailbreakes.

Hvad er forskellen mellem jailbreaking, rooting og sideloading?

Udtrykket “jailbreaking” kan gælde for enhver form for mobilenhed, men henviser generelt til Apple-enheder. Apple opretholder et højt niveau af enhedssikkerhed ved at begrænse alle enheder til kun at tillade apps, der er downloadet fra deres officielle App Store. Jailbreaking er en metode til at omgå dette ved at øge brugerrettighederne på enheden. Brugerne kan stadig få adgang til alle enhedens normale funktioner, men kan installere programmer fra andre kilder end App Store.
Google låser ikke Android OS lige så meget som Apple – selv om standardkonfigurationen ikke tillader sideloadede apps, er det muligt at ændre en indstilling, så apps fra tredjepartskilder tillades. Vores undersøgelser viser, at omkring 20 % af enhederne har denne indstilling aktiveret. Denne metode virker mindre risikabel end jailbreaking, men åbner enheden for trusler på nøjagtig samme måde.
Rooting bliver ofte forvekslet som Android-versionen af jailbreaking. Selv om rooting ligner jailbreaking i den forstand, at de begge er en optrapning af rettigheder, giver rooting Android-brugere en meget større frihed. Det kaldes det, fordi det giver root-adgang til enheden, og rooting giver langt større superbrugerrettigheder, så brugerne kan foretage drastiske ændringer – op til og inklusive ændring af enhedens styresystem.

Hvilke apps sideloader mine medarbejdere?

Vores undersøgelser viser, at der er en stor variation af apps, der sideloades på virksomhedens enheder, men vi var i stand til at kategorisere de fem mest almindelige sideloadede apps:

Specielt fremstillede forretningsapps

Specielt fremstillede apps giver store fordele for organisationer ved at give it-afdelingen mulighed for at skræddersy applikationer til at opfylde de specifikke brugssager for forskellige afdelinger i virksomheden. En af vores kunder byggede og implementerede f.eks. en brugerdefineret app, så plejepersonalet kunne opdatere patientjournaler og bestille recepter fra sengekanten, hvilket minimerede administrationen og øgede den tid, der blev brugt på patienterne.
For at implementere brugerdefinerede apps er virksomheder normalt nødt til at omgå de officielle app stores, da de ikke ønsker at gøre deres apps bredt tilgængelige for offentligheden på grund af de følsomme oplysninger, de indeholder. F.eks. indeholder en HR-app med en medarbejdermappe personlige oplysninger om personalet, og apps med interne virksomhedsnyheder indeholder følsomme virksomhedsoplysninger. Det er forståeligt, hvorfor it-afdelingen ønsker at finde en anden måde at gøre disse apps tilgængelige for deres brugere på uden at tilføje kompleksitet ved at tilføje brugerautorisering.

Hvad er risikoen?

Sideloading af apps er typisk en farlig praksis, men i dette tilfælde er det en almindelig praksis og den foretrukne distributionsmetode. En organisation kan garantere, at den pågældende app er designet uden ondsindede hensigter og kan overholde de ønskede sikkerhedsniveauer. Hvis organisationen har jailbreaket enhederne for at tillade appen, kan der downloades og installeres risikable apps, så det er mere sandsynligt, at andre metoder vil blive anvendt. Enten ved at forudinstallere den certifikatprofil, som den brugerdefinerede app er signeret, eller ved at bruge et EMM-værktøj (Enterprise Mobility Management).
Firksomheder, der har brugerdefinerede apps, outsourcer ofte udviklingen til tredjeparter. Problemet med disse tredjepartsudviklere er, at de ikke håndhæver en robust vetting-workflow for at fange problemer med ydeevne og sikkerhedsproblemer som f.eks. usikre netværksforbindelser. Wandera opdagede for nylig en virksomheds specialudviklede HR-uddannelsesapplikation, som ikke beskyttede brugernavne og adgangskoder for brugere, der loggede ind, hvilket var de samme legitimationsoplysninger, som de brugte til at logge ind på deres virksomhedens e-mail-konti.
En ting mere at overveje – disse specialudviklede apps vil være optimeret til det eksisterende operativsystem, så når Apple eller Android udruller en opdatering af operativsystemet, kan nogle af appens funktioner gå i stykker. Derfor er det nyttigt at bruge en tjeneste til at styre udrulningen af OS-opdateringer for at sikre, at brugerdefinerede apps fortsat fungerer optimalt.
Risiko – 1/5

Tredjeparts app-butikker

Apple App Store til iOS og Google Play Store til Android er de to største distributionskanaler for mobilapps. Men der findes en stor ond verden af tredjeparts app-butikker og apps, der eksisterer uden for disse to store aktører. Faktisk er der mere end 300 app-butikker på verdensplan, og det antal fortsætter med at vokse.
I henhold til vores data er en af de mest populære tredjepartsapps til iOS-enheder til virksomheder Tutuapp, oprindeligt en kinesisk app-butik, som udgav en engelsk version i 2017. Tutuapp er kendt for at hoste modificerede eller hackede versioner af populære spil, herunder en version af Pokemon Go, hvor spilleren ikke behøver at bevæge sig for at finde og fange Pokemon. De apps, der er hostet på Tutuapp, er ikke gennemtestet grundigt på samme måde som dem på Google Play og App Store.
På Android er installation af tredjeparts app stores ikke så almindelig, fordi en bruger blot kan besøge appens websted og downloade den direkte fra browseren, så længe indstillingen er slået til for at tillade downloads fra ukendte kilder.
Så er disse to mest populære tredjeparts app-butikker, som Android-brugere sideloader fra:

1. Aptoide
2. Amazon Appstore

Amazon godkender alle apps, før de offentliggøres i butikken, på samme måde som Apple – hvilket tyder på, at Amazon Appstore i sig selv er relativt sikker. Aptoide er derimod mindre pålidelig.
Aptoide har en virusscanningsfunktion (angivet ved et skjoldsymbol ved app-ikonet), men vil stadig offentliggøre apps, der ikke er blevet scannet, hvilket åbner kunderne op for potentielle trusler. Selv om der ikke er noget, der tyder på, at selve Aptoide-appen indeholder malware, kan de apps, den tilbyder, udgøre en trussel.

Hvad er risikoen?

Mens størstedelen af apps fra tredjeparts app-butikker i sig selv kan være fri for malware og relativt sikre, er den adfærd, de muliggør, en langt større trussel. Man kan roligt antage, at enhver, der sideloader en tredjeparts app-butik, har planer om at installere en eller flere apps, der er hostet af dem. Da størstedelen af disse app-butikker ikke håndhæver en streng sikkerhedskontrol af de apps, de tilbyder, kan dette gøre enhver enhed, som de er blevet installeret på, særligt sårbar over for trusler.
Risiko – 5/5

Spil

Efter specialfremstillede apps og app-butikker fra tredjeparter er den mest almindelige årsag til sideloading af apps installation af spil, der ikke er tilgængelige i de officielle app-butikker. Ifølge vores data spiller 10 procent af medarbejderne dagligt på deres virksomhedsenheder.
Det mest bemærkelsesværdige eksempel på et populært spil, der skal sideloades, er Fortnite til Android. Da Epic Games traf beslutningen om at omgå Google Play-butikken og kun tilbyde det meget ventede spil via deres eget websted, var vi (og andre sikkerhedseksperter) hurtige til at kommunikere om risiciene, som omfatter normalisering af risikabel konfiguration, distribution af falske Fortnite-spil og Fortnite-baserede phishing-angreb.
Kort tid efter opdagede Googles sikkerhedsteam en sårbarhed i Fortnite Installer. Dette kunne udnyttes af andre apps på enheden til at kapre anmodningen om at downloade Fortnite fra Epic Games til i hemmelighed at downloade noget andet, herunder malware eller spyware. Til Epics ære blev sårbarheden hurtigt lappet.

Hvad er risikoen?

Arbejdsgivere mener måske, at installation af spil på virksomhedens enheder er skadelig nok for produktiviteten. Den potentielle trussel, der følger med sideloadede spil, er imidlertid betydelig. Uden det ekstra sikkerhedslag fra Apples eller Googles app-screening kan sårbarheder og skadeligt indhold gå uopdaget hen og udsætte enheden for et væld af trusler. Selv en stor spiludgiver, Epic Games, var ikke i stand til at garantere sikkerheden ved deres flagskibsudgivelse til mobilen – og med “tidlige udgivelser”, modificerede versioner og falske “vejledninger” er spil et modent mål for personer med ondsindede hensigter.
Risiko – 4/5

“Gratis” filmseere

Da dataoverførselshastighederne og den mobile internetdækning er steget i de seneste år, er brugen af mobile enheder til streaming af film og tv også steget. Det er almindeligt, at mobilbrugere streamer film udelukkende på deres enheder, og derfor er antallet af apps, der leverer indhold, steget.
Suden legitime tjenester som Netflix eller Amazon Prime Video (en app, der tidligere regelmæssigt blev sideloadet, indtil den blev tilføjet til Google Play Store i 2017), bliver en række applikationer, der tilbyder gratis filmvisning, regelmæssigt sideloadet til virksomhedens enheder. De mest populære af disse til iOS er MovieBox og CotoMovies (tidligere Bobby Movie eller Bobby HD), idet 50 % af virksomhederne har mindst én af de to apps installeret. CotoMovies er et eksempel på en sideloaded app, som ikke kræver, at iPhone skal jailbreakes – men brugeren skal ændre profilindstillingerne på enheden, hvilket kan gøre den særligt sårbar over for angreb.
Der er desværre en række problemer med disse apps – først og fremmest er det, at disse apps ulovligt piratkopierer de film, som de reklamerer for. Apps, der er godkendt af Apple eller Google, tillader ingen ulovlige aktiviteter, men med sideloadede apps er der ingen garanti.
Videostreaming er særligt datakrævende, hvilket kan føre til potentielle dataoverbelastningsgebyrer, hvis der ikke føres tilsyn. Dette er en fare ved alle streaming-apps, også lovlige apps. Nogle ulovlige streaming-apps kan dog medføre et andet dataproblem. Moviebox er en peer-to-peer-tjeneste, hvilket betyder, at mens en bruger downloader en fil, vil vedkommende også uploade den – sandsynligvis uden at vide det.

Hvad er risikoen?

Gratis filmfremvisere har ved første øjekast en række problemer. De er helt klart risikable ud fra et mobilsikkerhedssynspunkt, men de giver også problemer med hensyn til dataforbrug og produktivitet. Endnu værre er det at bruge dem til at se film, at man deltager i piratkopiering – ikke ligefrem den slags ting, man ønsker skal ske på en virksomhedens enhed.
Risiko – 3/5

Kryptovalutamarkedet

I de seneste par år har kryptovalutaer som bitcoin taget fart. Med folk, der er blevet millionærer praktisk talt over natten, søger alle efter den næste succes. Dette har skabt et marked, der er forberedt til misbrug – ikke mindst på grund af kryptovalutaens omskiftelige karakter og den måde, den handles på.
Der findes et betydeligt antal apps til handel med kryptovaluta, og de udgør den femte mest almindelige kategori af apps, der sideloades til enheder. Den mest almindelige kryptovaluta-app, der sideloades til iOS-enheder, er Binance.
Uverificerede apps til finansiel handel er utroligt værdifulde mål for ondsindede aktører – der overføres en stor mængde finansielle oplysninger, og der er potentiale for betydelig gevinst (og betydelige personlige tab for en uforsigtig bruger). Trusler for disse apps kan tage form af sårbarheder, der overses af uagtsomme udviklere, eller falske versioner af appen, der stjæler alle de oplysninger, der indtastes i den.
En anden app, der vækker mistanke, er Kucoin. Den findes i Google Play Store, men ikke i App Store. Til iOS kan den sideloades, men kræver en profil for at blive installeret, og den blev oprettet af “Meridian Medical Network Corp.” – usædvanlige anmodninger som denne kan ofte være et advarselstegn. Der har også været mindst ét tilfælde, hvor der er blevet oprettet en falsk Kucoin-app.

Hvad er risikoen?

Som med alle de andre mest almindelige kategorier af sideloadede apps er der en iboende risiko, fordi der mangler tilsyn med sikkerheden i de enkelte apps. Eventuelle utilsigtede udnyttelser vil blive jagtet og afsløret, og der vil være bevidst ondsindede apps derude, som den uforsigtige bruger kan installere, hvilket bringer dem i fare for personlig økonomisk skade.
Risiko – 2/5 for organisationen – 4/5 for slutbrugeren af appen

Alt andet

Vi har kun dækket de fem mest almindelige typer af sideloadede apps – der er masser af andre, som brugerne kan installere for at få ekstra adgang til deres enhed eller for at omgå den politik, som Google og Apple opretholder i deres respektive app-butikker. Hjælpemidler til rooting, voksenindhold og selv pdf-læsere har vist sig at indeholde skadeligt indhold, og når en app er sideloadet, er der meget lidt garanti for, at den er sikker. Det forstærker alt sammen pointen om, at ordentlig overvågning og synlighed er afgørende for at sikre fuld mobilsikkerhed.

Hvad kan jeg gøre?

Først har vi samlet alle AppID’erne for de apps, der er nævnt i denne artikel (findes nederst på denne side), så du kan holde øje med dem på dine enheder – du bør kunne se alle installerede AppID’er, hvis du bruger en EMM-løsning.
For det andet bør du overveje at investere i en sikkerhedsløsning, der løbende kan overvåge og blokere nye trusler i hele din flåde, uanset hvor de udløses på enheden. Med hensyn til sideloadede apps bør du lede efter en løsning, der kan markere farlige indstillinger på enheden (f.eks. tillade downloads fra ukendte kilder eller være jailbroken), blokere apps, som du har markeret som uønskede, og give dig besked om programmer, der viser farlig aktivitet som f.eks. exfiltrering af data.
Hvis du gerne vil vide mere om at beskytte din organisation mod mobile trusler, kan du kontakte en af vores mobilitetseksperter i dag.

3rd Party App Stores

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Games

Fortnite Installer
Android: Com.epicgames.portal

Gratis film-apps

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Kryptovaluta

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: Com.koins.nb, com.kucoin.KuCoin.App