Nem biztonságosak a mobilos szerencsejáték appok

2015-09-14
Az informatikai biztonsággal foglalkozó Veracode cég legújabb tanulmánya szerint a mobilos szerencsejáték appok veszélyeztetik a vállalati rendszerek biztonságát is.

 

A Veracode több ezer olyan mobilt vizsgált át, melyen szerencsejáték szoftvert telepítettetek, és melyeket munkára is használnak. A vizsgálat utáni tanulmányban a cég megállapította, hogy „egy átlagos munkavállalónak több ilyen jellegű app is van a mobilján”, néhányuknak akár 35 darab is.

 

A cég 11 különböző „szerencsejáték appot” tesztelt, melyek valójában mind ingyenesen játszható közösségi kaszinójátékok voltak, nem pedig valódi pénzes online kaszinó appok – sajnos a tanulmány nem tesz különbséget a kettő között, ugyanakkor a feltárt kockázatok rámutatnak a közösségi kaszinóipar szabályozásának szükségességére.

 

A Veracode vizsgálata szerint a játékprogramok esetében a legnagyobb kockázatot az jelenti, hogy e programok sokszor az átlagosnál több sérülékenységet tartalmaznak, ezek kihasználásával pedig nem csak a felhasználók személyes adatai kerülhetnek veszélybe, hanem a vállalatok rendszerei is sebezhetővé válhatnak. 

 

A fenyegetettségek listáján szerepel többek közt a közbeékelődéses támadás, az adatlopás, a kémkedés és a jogosulatlan távoli rendszerhozzáférés is. Előfordult, hogy az app hozzáfért a híváslistákhoz, a telefon helyzetadataihoz, sőt még a telefonbeszélgetéseket is rögzíteni tudta.

 

A tanulmányban sajnos nem említettek név szerint egyetlen szoftvert sem, csak azt hozták nyilvánosságra, hogy mely szoftvereket vizsgálták: Big Fish Casino, Gold Fish Casino Slots, GSN Casino, Heart of Vegas, Hit it Rich Casino Slots, Jackpot Party Casino, Slot Machines House of Fun, Slots Pharaohs Way, Texas Poker, Wonderful Wizard of Oz és Zynga Poker.

 

A vizsgálatok során kiderült, hogy „az egyik népszerű casinos alkalmazás” olyan biztonsági rést tartalmaz, amelyen keresztül nem csak kémkedni lehet, hanem az is megállapítható, hogy rootolt- vagy jailbreakelt-e a készülék. A Veracode elmondása szerint az app telepítésével kikapcsolhatóvá válhatnak a mobilbiztonsági alkalmazások, eltulajdoníthatók a lementett adatok, sőt még a firmware is manipulálható lehet.

 

Egy másik szerencsejáték app titkosítatlan, HTTP kommunikációt folytatott egy távoli kiszolgálóval, miközben a felhasználó engedélye nélkül hozzáfért személyes információkhoz, és időnként titkosított csomagok formájában adatokat töltögetett fel a szerverére. 

 

Volt olyan alkalmazás is, ami tulajdonképpen szabadon olvasta, írta a fájlokat, és közvetlen hálózati kapcsolatot épített ki távoli szerverekkel. Mindez persze nem azt jelenti, hogy a vizsgált szoftverek mindegyike ártalmas célokkal készült, de az biztos, hogy a működésük sok esetben átláthatatlan vagy legalábbis nem kellően szabályozott. 

 

A Veracode szerint ezek az ingyenesen letölthető appok az ingyenességért cserébe reklámokat jelenít meg, melyek során felhasználói adatokat és helyzeti adatokat küld a világ pontján lévő reklámszervereknek, és ezek további kockázatot jelenthetnek. 

 

A cég nem vádolja azzal ezeknek az appoknak a fejlesztőit és kiadóit, hogy szándékosan veszélyeztetik a vállalati rendszereket, tanulmányával csupán az volt a célja, hogy felhívja a figyelmet a problémára, hiszen „a kiberbűnözők folyamatosan keresik azokat a szoftvereket, melyek segítségével vállalati adatokat tulajdoníthatnak el, vagy fontos személyeket követhetnek, melyből aztán anyagi hasznot húzhatnak.”

 

"Tetszik vagy sem, a vállalati felhasználók kockázatos alkalmazásokat is telepítenek a mobil eszközeikre, amivel növelik a támadási felületet, és veszélybe sodorják a céges adatokat" - foglalta össze a tapasztalatokat Theodora Titonis, a Veracode mobilbiztonságért felelős alelnöke.