I detta kapitel presenteras det resultat som kommit fram i studien. Först följer en diskussion och generalisering av ämnet. I nästa avsnitt sammanställs resultatet och därefter följer min reflektion kring mitt resultat och sist presenteras förslag på forskning som jag tror kan vara intressant. Båda avsnitten är uppdelade i rubriker formade utifrån mina forskningsfrågor.
5.1 Diskussion och generalisering
Min uppsats syfte var att kartlägga de risker och hotbilder som idag finns riktade mot slutanvändare av mobila applikationer samt vilka skydd det finns att använda sig av. Som detta ville jag även få fram hur pass bra stöd det finns idag för att bedriva säker applikationsutveckling med slutanvändare som målgrupp och även hur pass bra stöd det finns för att välja säkra applikationer idag.
Risker, hot och skydd
Studien visar på att den största hotbilden vi finner hos appar är idag ekonomiska hot. I en tid där betaltjänst-appar blir allt vanligare i mobila enheter växer även motiven för angrepp mot dessa appar.
Ett av dom stora problemen med appar idag är att den genomsnittliga slutanvändaren inte är medveten om hur arkitekturen hos mobila operativsystem ser ut och därför heller inte är medvetna om vad det kan för konsekvenser om man blir utsatt för ett angrepp. Studien visar att det finns låg vetskap om hur deras information behandlas appar. Detta väcker många andra intressanta aspekter på mobil användning. Kan dessa företag som skickar ut personlig information till utomstående ses som hostagenter för en slutanvändare?
Ett annat stort problem med appar idag är ålderspannet av de som använder apparna. Många appar idag har användare som sträcker sig från 6-100 år. Dessa användare har alla olika synsätt på appar och att uppnå tillräcklig säkerhet för samtliga användargrupper är inte helt enkelt. För en
slutanvändare kan detta innebära att man inte förstår vad appen har för funktioner för det är något som din åldersgrupp inte är van vid. Däremot förstår användaren hur appens gränssnitt fungerar och därmed kan en incident ske omedvetet.
Appar är fortfarande ett nytt begrepp. Apple släppte sin första app 2008 och ibland glömmer man att detta är nytt område som inte har många år på nacken än. För att skydd ska utvecklas och bli mer sofistikerade måste det ske mer incidenter.
Bedriva säker applikationsutveckling
Studien visar att inte alla utvecklingsföretag bedriver säker applikationsutveckling trots att det finns verktyg att tillgå. Det finns brister i hur man behandlar information kring slutanvändare och det oftast finns brister i hur man jobbar med informationssäkerhet. En av anledningarna till detta skulle kunna vara det faktum att för att antal incidenter som rapporterats för appar och dessa
operativsystem fortfarande är relativt låg mot stationära program. Det utvecklas inte skydd till hypotetiska hot och risker utan det måste finnas sårbarheter och rapporterade incidenter för att skydd ska ta form. Apputveckling är ett relativt nytt område som växer snabbt och det kommer nog bli vanligare för utvecklingsföretag att införa dessa säkra utvecklingsmetoder allteftersom hotbilden mot mobila applikationer växer.
Välja säkra appar
Studien riktar även kritik mot de sätt som finns att välja säkra applikationer idag. Att användare idag betygsätter appar resulterar indirekt i att de validerar säkerheten hos appen. Analyser av hur användare väljer pekar på att dom tenderar gå efter topp-listor. Problemet här ligger i att de flesta slutanvändare inte besitter kunskapen att bedöma huruvida en app är säker eller inte.
De största leveranssystemen för appar som idag finns ämnar att släppa säkra applikationer och vi finner olika tekniker för att tillämpa en säkerhet i de appar som distribueras. Det finns anledning att tro att de operativsystem som använder sig av Open Source kommer att tvingas inför en rigorösare kontroll av de applikationer som finns för nedladdning då hotbilderna ökar.
5.2 Slutsatser och reflektion om arbetet nått målet
5.2.1 Slutsatser Risker hot och skydd
I mitt arbete med att ta fram risker, hot och skydd finner jag att appar är mer exponerade på grund av sin mobilitet. Att appar huserar i mobila enheter gör att hotbilden mot den är annorlunda än om du utför en riskanalys mot ett traditionellt program. Däremot möter applikationsutvecklare även många av de problem som utvecklare till stationära enheter möter: skadlig kod, ekonomiska motiv, avlyssning är alla begrepp som vi ser i båda versionerna av utveckling. Vi ser även att funktionalitet för slutanvändare ligger i fokus för applikationsutvecklare och att detta ibland medför att inte tillräcklig säkerhet införs.
som ligger bakom flest attacker mot appar. De flesta källor som behandlats i denna studie spår att antalet angrepp mot mobila applikationer för att försöka stjäla pengar kommer att öka.
Studien visar även att det finns stora brister i hur företagen som utvecklar appar hanterar personlig information.
Vi ser även att även appar hotas av tekniska hot som t.ex skadlig kod och avlyssning och att för att skydda sig mot detta blir skyddande programvara allt vanligare.
Bedriva säker applikationsutveckling
Studien visar på att en av fördelarna med apputveckling är att operativsystemen använder sig av sandboxing och enbart låter 3-handsappar köras i en isolerad miljö. Detta skyddar appar från att göra otillåtna anspråk på resurser i operativsystemet som skulle kunna resultera i incidenter.
För att bedriva säker applikationsutveckling finns det idag bra metoder och ramverk att följa. Vi ser även att man måste se till alla beståndsdelar rörande smartphones och surfplattor. Grundidéerna här är att man måste se till hela livscykeln för en applikation, från födsel till död. Samtidigt så måste hela kedjan av beståndsdelar tillgodoses. Leverantör av plattform, utvecklare samt slutanvändare har alla en del i hur säkerheten av en applikations säkerhet påverkas.
Välja säkra appar som slutanvändare
De finns idag stöd för att välja säkra appar som en slutanvändare. Till samtliga tre plattformar som jag har studerat i denna studie finns det onlinebutiker att välja som testar appar innan de släpps för distribution. Användare av Windows Phone och IOS har enbart detta val av kontrollerad
distribution. Android är Open Source vilket betyder att sättet för att distribuera sina appar är fritt. Det kommer dock aktörer som specialiserar sig på att släppa säkra appar till slutanvändare. En slutanvändare kan idag också minimera riskerna genom att välja beprövade appar som redan betygsatts av andra användare.
5.2.2 Reflektion
Jag ämnade att med denna studie kartlägga de risker, hot och skydd som idag finns för mobila applikationer. I kombination med detta så önskade jag också undersöka vad det finns för stöd och möjligheter att bedriva säker utveckling för appar och om det idag går att välja säkra appar som slutanvändare. Att studera detta från en slutanvändares perspektiv har varit intressant då det finns lite forskning inom detta område. Tyvärr betyder detta att många Internetkällor och ”White papers” har använts för att ge den teoretiska bakgrunden. Internetkällor kommer med kritiken att de kan ses som osäkra då dessa inte är vetenskapligt baserade. För att försöka styrka studiens trovärdighet har
intervjuer med experter inom både applikationsutveckling och mobila operativsystem intervjuats. Det som kunde ökat trovärdigheten ytterligare hade kunnat varit om jag fått kontakt med fler företag som jobbar med applikationsutveckling. Detta visade sig dock svårt då få svarade vid förfrågan och då uppsatsen skrivs under en tidsbegränsning. Det skulle även varit intressant och göra intervjuer med slutanvändare och kartlägga mer exakt hur deras användarvanor ser ut.
Att ekonomiska hot är det som motiverar till flest angrepp är också väldigt intressant, särskilt ur en slutanvändares perspektiv. Kommer den ekonomiska hotbilden växa ännu mer mot slutanvändare bara för att fler betaltjänster lanseras? Det här är spekulationer men från vad studien visar så är det i den riktningen som utvecklingen sker.
Det som också funnits i studien som skulle varit intressant att få mer inblick i är att det finns brister i hur företag använder sig av den information som appar idag genererar. Det vore intressant att exakt få reda på hur företagen ställer sig till skyddandet av sina användares information.
5.2.3 Förslag till vidare forskning
Mitt förslag till vad som skulle kunna forskas vidare på inom detta ämne är hur pass många yrkesverksamma som använder sig av säkra utvecklingsmetoder inom apputveckling är. Det finns många utvecklingsmetoder för program- och systemutveckling på marknaden idag men då
apputveckling fortfarande är ett nytt område vore det intressant att se hur pass många av
apputvecklingsföretagen som idag faktiskt använder sig av dessa ramverk och riktlinjer som är till för att säkra informationsäkerheten.
Vidare vore det även intressant att se hur pass mycket de ekonomiska aspekterna inom mobila enheter kommer ha en inverkan på utvecklingen av appar. De teorier som idag berör den ekonomiska hotbilden mot smartphones och surfplattor är till mestadels spekulationer in i
framtiden. Med det sagt vore det intressant att se varför just mobila enheter är säkrare eller osäkrare i sin egenskap av betalningsmedium.
5.2.4 Kunskapsbidrag
I denna uppsats ges kunskapsbidrag i form av en sammanställning av vilka säkerhetsrisker utvecklare möter i applikationsutveckling för mobila enheter ur en slutanvändares perspektiv. En studie över vilka hotbilder som existerar ur en slutanvändares perspektiv
Källhänvisning
6.1 Elektroniska källhänvisningar
Android, Publishing Checklist for Google Play
http://developer.android.com/distribute/googleplay/publish/preparing.html Hämtad: 2012-12-12
Apple, Official Apple Store http://store.apple.com/us Hämtad: 2012-12-02
Businesswire, Android Marks Fourth Anniversary since Launch with 75.0% Market Share in Third
Quarter
http://www.businesswire.com/news/home/20121101006891/en/Android-Marks-Fourth-Anniversary-Launch-75.0-Market
Hämtad: 2012-12-02
Computer Sweden, Vilka är hoten mot mobila plattformar http://computersweden.idg.se/2.2683/1.422254
Hämtad: 2012-11-29
Datainspektionen, Säkerhet enligt personuppgiftslagen
http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/sakerhet-enligt-personuppgiftslagen/ Hämtad: 2012-12-17 GPS, What is GPS http://www.gps.gov/systems/gps/ Hämtad 2012-12-17
Google, Google Wallet
http://www.google.com/wallet/how-it-works/index.html Hämtad: 2012-12-05
F-secure, Mobile threat report Q4 2011
http://www.f-secure.com/weblog/archives/00002321.html
Hämtad: 2012-12-05
IDG.se, Svensk butik för säkra appar
http://www.idg.se/2.1085/1.483914/svensk-butik-for-sakra-appar Hämtad 2012-12-26
IDG.se, Ny trojan för Android kan spela in din röst
http://www.idg.se/2.1085/1.364432/ny-trojan-for-android-kan-spela-in-din-rost Hämtad: 2012-12-26
LociLoci, Så fungerar det
https://www.lociloci.com/se/guide/ Hämtad: 2012-01-01
n4bb, Whatsapp' the most insecure way of cross-platform-communication
http://forum.n4bb.com/discussion/63/whatsapp-the-most-insecure-way-of-cross-platform-communication
Hämtad: 2012-12-05
Netresec, Network Forensic Analysis of SSL-MITM Attacks
http://www.netresec.com/?page=Blog&month=2011-03&post=Network-Forensic-Analysis-of-SSL-MITM-Attacks
Hämtad 2012-12-08 Microsoft, Windows Store
http://www.windowsphone.com/en-us/store Hämtad 2012-12-02
SANS APPSEC SUMMIT 2011, Hacking and Securing Nex Generation iPhone and iPad Apps http://software-security.sans.org/downloads/appsec-2011-files/dhanjani-hacking-securing-next-gen.pdf
Hämtad: 2012-12-08
Symantec, Motivation of Recent Android Malware
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/motivatio ns_of_recent_android_malware.pdf
Hämtad: 2012-12-08
Symantec, Symantecrapport avslöjar de sju främsta hoten mot Android
http://www.symantec.com/sv/se/about/news/release/article.jsp?prid=20111128_01 Hämtad: 2012-12-09
Techworld, Så stor är risken att drabbas av skadlig kod i mobilen
http://techworld.idg.se/2.2524/1.409784/sa-stor-ar-risken-att-drabbas-av-skadlig-kod-i-mobilen Hämtad: 2012-12-08
Techworld, Android oskyddat mot attack
http://techworld.idg.se/2.2524/1.458532/oskyddad-mot-attack Hämtad: 2012-12-19
Wall Street Journal, Your Apps Are Watching You
http://online.wsj.com/article/SB1000142405248704368004576027751867039730.html Hämtad: 2012-12-12
6.2 Litteratur
Böcker
Briony J Oates (2006): Researching Information Systems and Computing, London: Sage
Klaus Krippendorf (2006): the semantic turn: a new foundation for design, Boca Raton, USA: CRC PRESS
ISO/IEC 27001:200 - Information technology -- Security techniques -- Information security
management systems -- Requirements
ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information
security management
Howard, M & Lipner, S (2006) The Security Development Lifecycle SDL: A process for Developing
Demonstrably More Secure Software, Redmond : Microsoft Press
Publicerade verk och artiklar
Aviv, J., Gibson, K., Mossop E., Blaze M. och Smith, J.M.(2010): Smudge attacks on smartphone
touch screens,University of Pennsylvania
Berg, R. (2007): The Path to a Secure Application: A SOURCE CODE SECURITY REVIEW
CHECKLIST, Ounce labs
Dr Giles Hogben, Dr, Marnix Dekker (2010): Smartphones:Information security risks,
opportunities and recommendations for users, ENISA
Department of Defence (2012): IOS Hardening Configuration Guide – For iPod touch, iPhone and
iPad running on iOS 5.1 or higher, Australian Government
Goldkuhl, G. (2011): Kunskapande, Linköping Universitet
Mingers, J. (2001a) "Combining Research Methods: Towards a Pluralistic Methodology", Information Systems Research, 12(3), pp. 240-259.
OWASP Top 10 (2010): The Ten Most Critical Application Security Risk, OWASP foundation Svensson, T (2010): Advancing Smartphone Security, Atsec information security
Vidalis, S och Blyth, A. (2002): Understanding And Developing a Threat Assessment Model, University of Glamorgan
7 Bilagor
Intervju frågorna valdes att vara öppna för att lätt kunna spinna vidare i diskussion kring ämnet.
Bilaga 1
Intervjufrågor för Microsoft Generellt om säkerhet.
Hur ser ni på säkerhet inom applikationsutveckling på microsoft? (Spinn vidare)
Säkerhet inom apputveckling?
Gör ni skillnad på mjukvara ni utvecklar för mobila enheter eller vanliga stationära datorer? I sådana fall, varför?
Hur ser ni på hotbilden mot appar och mobila plattformar? Ser ni att er plattform är bättre på något vis?
Bilaga 2
Intervjufrågor för Bithack Generellt om säkerhet:
Tycker du att det finns några skillnader på att utveckla appar och traditionella program till PC-miljö?
Anser du att det är säkrare att jobba med appar?
Hur bithack jobbar med säkerhet:
Använder ni er av några säkra utvecklingsmetoder? Hur jobbar ni rent praktiskt med säkerhet i ert företag?
Bilaga 3
Sätt upp nätverk med programvara för avlyssning 1. Installera WireShark
2. Börjar lyssna på nätverket
Installation av WhatsApp
1. Gör två nya konton på WhatsApp. Installerad WhatsApp appen på två olika telefoner. 2. Sätt upp ett öppet WiFi-nätverk för de två telefonerna.
3. Skicka meddelande från telefon A till telefon B. (Meddelandet var: ”Hej lösen: 1234”)
Analysera trafik
1. Se om meddelandet kan avlyssnas.