Smartphones og sikkerhed

Hvis man ønsker at have styr på sine data, så kan en PC give udfordringer. Der er sikkerhedsprogrammer og krypteringsprogrammer der skal installeres og anvendes korrekt, og det er samtidig afgørende at man tænker sig om og besidder en vis grad af security mind. Men med det sagt, så er det muligt at opnå stor sikkerhed og kontrol over persondata på en PC.

Sådan er det ikke med smartphones!

Smartphones er i virkeligheden transportable mini-computere, og de sikkerhedsudfordringer man har på en PC gør sig også gældende på smartphones, tablets, og andre lignende enheder. Da smartphones i dag bruges til at gå på nettet med, ligesom vores stationære eller bærbare PC, indeholder de ofte de samme potentielt følsomme data, lige fra passwords til de emails vi sender og modtager. Skræmmende mange data kan udtrækkes af en smartphone. Derfor bør en smartphone sikres lige så effektivt som en PC.

Her opstår problemet!

Det er desværre ikke muligt at sikre smartphones (samt tablets osv.) lige så effektivt som en PC. Nogle af problemerne vil sandsynligvis blive afhjulpet efterhånden som der kommer flere og mere effektive krypterings- og sikkerhedsprogrammer til smartphones. I andre tilfælde er problemerne af helt fundamental art. Følgende er en liste over nogle af de væsentligste sikkerhedsproblemer man står overfor, hvis man har valgt at anskaffe sig en smartphone.

.

– Krypteret harddisk –
Noget af det vigtigste og mest basale er at kryptere alle sine data, uanset om de er lagret på en traditionel harddisk eller andre typer af hukommelse. Der findes flere programmer til kryptering af smartphones, men de lider alle af det samme fundamentale problem. For at kunne vise de krypterede data er krypteringsnøglen nødt til at ligge ukrypteret i hukommelsen på enheden mens den er tændt. Det har den svaghed at man med de rette specialværktøjer kan udlede krypteringsnøglen og derved få mulighed for at dekryptere resten af enheden (ligesom der også er andre metoder til at omgå låsen på en smartphone). På en PC løses dette problem ved ganske enkelt at slukke den. Det fjerner krypteringsnøglen fra computerens RAM på ganske få sekunder. Men en smartphone er ikke særlig nyttig når den er slukket. Den er normalt altid tændt og ens data er dermed altid sårbare overfor angreb der udleder krypteringsnøglen. Dette findes der ingen effektiv løsning på. Problemet bliver selvfølgelig ikke mindre af, at en smartphone kan stjæles ud af hænderne på ejeren mens den er i brug.

Hackere og malware
Hidtil var det primært computere der blev angrebet af hackere, men det er ved at vende. For at sikre sin smartphone er man i stigende grad nødt til at have sikkerhedsprogrammer installeret. Flere antivirus-producenter tilbyder programmer til det formål, men som bekendt giver antivirus kun begrænset beskyttelse. Ligesom på en PC kunne løsningen være et HIPS, men pr. marts 2013 lader der endnu ikke til at findes nogen effektive og velafprøvede HIPS til smartphones. Så heller ikke her er der nogen løsning på problemet, omend man kan håbe på at fremtidig udvikling vil ændre det.
Samtidig har smartphones flere muligheder og er mere komplicerede end ældre mobiltelefoner. Dermed er der flere indstillinger at forholde sig til og flere muligheder for at gøre noget galt. Ofte er standardindstillingerne fra producenten ikke optimale og man har dermed besværet med at tilrette sine indstillinger. Denne øgede kompleksitet giver flere angrebsveje for hackere.

Passwords
På en PC kan man sikre sine passwords effektivt med en password manager. Der findes også password managere til smartphones, omend det næppe er de bedst sikrede. For at få adgang til sin database med passwords kræver det, ligesom på en PC, at man indtaster sit master password. Det siger sig selv at et master password, som giver adgang til alle andre passwords, er en ekstremt følsom oplysning. Et sådant password bør kun indtastes på computere og andre enheder som man har tillid til. Grundet alle sikkerhedsproblemerne med smartphones bør man ikke indtaste sit master password på dem. Det betyder naturligvis at man ikke kan checke email eller logge ind på hjemmesider fra en smartphone.
Et andet problem med passwords på smartphones er, at de er vanskelige og tidskrævende at taste ind. Derfor vælger smartphone-brugere som regel svage passwords, eller ligefrem pin-koder, og derfor er det ofte muligt at gætte passwordet via brute force angreb.
Bedre bliver det ikke af at mange apps gemmer brugerens password, så det kun skal tastes ind den første gang app’en anvendes. Enhver der får adgang til enheden, fysisk eller via hacking, kan nu logge ind uden at skulle indtaste noget password.

Backup
Til backup på en PC kan Online Backup være løsningen. Men nu hvor ens data også befinder sig på en smartphone behøves der også en backupløsning til den. Her er udfordringen igen at finde en pålidelig backupløsning der kan bruges på en smartphone.

Apps
Apps er et kapitel for sig. App lyder så uskyldigt, men folk glemmer at en app på en smartphone ikke er fundamental anderledes end et program på en PC. Et af de første og vigtigste råd til en sikker computer er, at man aldrig må installere noget før man ved hvad det er, stoler på producenten, og stoler på den hjemmeside man downloader fra. Installerer man et ondsindet program, så er spillet tabt. Det program kan nu, i værste fald, foretage sig alt på den enhed hvor den er installeret.
På smartphones er det ofte vanskeligt at være helt sikker på hvad man installerer. Samtidig er der sjældent nogen grundig og pålidelig kontrol med apps. Som det udtrykkes i denne artikel: “First of all, it is easy to find vulnerabilities in apps for mobile. Mobile app development is often untested, rogue territory, and there is a large quantity of flawed code in the programs”. Selv meget udbredte apps kan have skjulte funktioner, og mange forskellige andre fejl. Undersøgelser viser at selv den helt basale sikkerhed fejler på tre ud af fire apps, tilsyneladende en generel tendens. Også mange af de mest populære apps overvåger brugeren og sender i det skjulte brugerens data ukrypteret ud på nettet. Også følsomme informationer sendes. Producenterne påstår typisk at de indsamlede data er anonyme og ikke kan anvendes til at identificere brugeren, men det skal tages med et stort gran salt. En arbejdsgruppe fra folketinget undersøger i skrivende stund hvad app-udviklere vil med alle de indsamlede data. Mange apps overholder næppe loven, men det stopper dem ikke. Mikrofonen kan naturligvis bruges til aflytning, ligesom strømforbruget kan anvendes til sporing af telefonens fysiske placering. Heller ikke bank-apps eller sikkerhedsapps er nødvendigvis sikre. Og når man køber en smartphone kan den allerede have et udtal af præinstallerede apps, nogle allerede sårbare eller med spion-funktionalitet. Faktisk lader det til at skræmmende mange apps er sårbare. Mange apps har desuden certifikat-problemer. Og hver app er med til at øge den såkaldte attack surface og dermed øges sårbarheden også overfor angreb.
Dertil kommer bevægelsessensorer i smartphones, hvorigennem apps kan aflure hvornår brugeren bevæger sig, om det er via almindelig gang, om der bliver gået op og ned ad trapper, om der køres i bil, samt opfange pinkoder, og opfange passwords og alt hvad der ellers tastes på en computer i nærheden. Endda rumaflytning og stemmegenkendelse kan foretages på smartphones uden brug af mikrofonen. Data som naturligvis også kan blive gemt på ubestemt tid sammen med nøjagtigt dato- og tidsstempel. Dertil viser undersøgelser, at stort set alle populære apps udspionerer brugeren, og 7 ud af 10 apps deler brugerens data med tredjepart.

Opdateringer
Præcis som på en PC skal alle installerede apps holdes patched. Det vil sige, at når der bliver fundet en sårbarhed i en app og udvikleren frigiver en sikkerhedsrettelse (en patch), så skal den installeres hurtigst muligt. Bliver den ikke installeret kan sårbarheden udnyttes af hackere.
Yderligere kompliceret bliver det at selve styresystemet, ligesom med Windows på en PC, også skal holdes opdateret. På nogle smartphones kan dette være yderst vanskeligt.

Triangulering
Dette problem findes også på ældre telefoner men bør alligevel nævnes. Så længe man er tilsluttet GSM-netværket eller et tilsvarende mobilnetværk, bliver ens position sporet via såkaldt triangulering. Det er muligt at se hvor telefonen befinder sig og hvor den har befundet sig op til mindst et år tilbage, uanset dato og tid på døgnet. Og hvis man lægger sin telefon fra sig eller slukker den, kan det også bliver brugt imod en. Hvorfor slukke eller lægge sin telefon fra sig hvis man ikke er ude på ballade? Pludselig er retsbegrebet om “uskyldig til det modsatte er bevist” vendt på hovedet, og man skal til at forsvare sin uskyld. Masseovervågningssamfund eller ej, hvis man ejer en mobiltelefon bliver man sporet konstant, også selv om man ikke er under mistanke. Dette problem bliver ikke løst ved at overgå fra en ældre telefon til en smartphone. Tvært imod. Mange ældre og mere simple telefoner slukker formodentlig når man slukker dem, mens mange nyere telefoner efter sigende kun slukker helt hvis man tager batteriet ud. Nogle mener endda at man også kan være nødt til at tage SIM-kortet ud. Disse problemer er der ingen effektiv løsning på og der ser ikke ud til at komme det, hverken for smartphones eller ældre telefoner. Og det er ikke kun myndigheder der kan overvåge vores mobiltelefoner, også privatpersoner og kriminelle gør det.
Da alle telefoner også indeholder en mikrofon, bør man desuden huske, at hvis mikrofonen kan aktiveres udefra, så er det noget ganske effektivt aflytningsudstyr som man helt frivilligt har på sig døgnet rundt. Webcam’et i en smartphone kan teknisk set også kontrolleres af en hacker udefra.
Da smartphones også kan søge kontakt med trådløse access points i lokalområdet, samt indeholde bluetooth, GPS og accelerometer, kan en smartphone give endnu mere præcise lokationsdata til både brugeren, forretninger, hackere og myndigheder der overvåger enheden. Også en smartphones batteriniveau kan bruges til overvågning, ja tilmed dens lyssensor. Meget af dette bruges allerede og der opfindes hele tiden nye undskyldninger for at øge masseovervågningen.

.

.

Ud over de fremførte problemstillinger er der også andre ulemper ved brugen af smartphones, som eksempelvis at de går lettere i stykker end ældre telefoner og at de løber hurtigere tør for strøm. Da de samtidig er langt dyrere, kan man med rette spørge, om det at overgå til en smartphone virkelig er alle ulemperne og pengene værd.
Hvad man end kommer frem til, så er anbefalingen på denne side ganske enkel:

Smartphones og følsomme data bør indtil videre holdes adskilt!

Det betyder i praksis at det er okay at browse fra sin smartphone, men kun så længe det ikke er nødvendigt at logge ind og indtaste password og brugernavn. At logge ind på hjemmesider, at checke mail, at bruge Skype osv. fra en smartphone må derfor som udgangspunkt frarådes. Der vil naturligvis stadig være følsomme data på enhver telefon i form af sms’er og kontaktpersoner, men mere behøver der ikke at være. På ældre telefoner kan der ikke være flere følsomme data end det, på smartphones bør der ikke være det.

Hvad nu hvis man virkelig har brug for sin smartphone til internetaktiviteter?
Det må blive en individuel vurdering. Man bør som altid opveje den sikkerhed man opnår med den pris man betaler for sikkerheden. Pointen er, at de færreste af os faktisk har brug for konstant og hele tiden at være logget på vores Gmail og at være online på Skype og Facebook. De fleste menneskers livskvalitet og produktivitet bliver næppe væsentligt forringet af, at vente med den slags til vi er kommet hjem til den stationære computer, eller til vi får startet vores bærbare computer. Og de computere kan som bekendt sikres effektivt via vejledningerne på denne hjemmeside.

.

Relateret læsning:
Safety tips to protect your mobile device
Populær iPhone-app downloadede alle dine kontakter
Pas på med mobile beskeder
Wikileaks: The Government Is Spying On You Through Your iPhone
Så let er det at skifte pinkoden til Google Wallet på en stjålen Android-telefon
Sådan sikrer du smartphonen mod tyveri og misbrug
Google snyder din iPhones privatlivs-indstillinger
Overvåg kontoret fra din smartphone eller tablet
Websider kan få dit mobilnummer, når du browser på telefonen
Android-apps har også adgang til brugerens billeder
Seks gode råd: Sådan sikrer du din smartphone
Derfor skal du passe på din smartphone
Apps kan læse data uden tilladelse
Så let er det at få fuld adgang til din pinkode-beskyttede smartphone
Svindlere bruger app-annoncer
Falske Android-apps spreder malware
Din telefons bevægelses-sensor er en sladrehank
Pas på: Ny smart angrebsform mod Android opdaget
De fleste antivirusprogrammer til Android er værdiløse
Gratis SMS-tjeneste kan blotte dine beskeder
Sådan får du nemt markant bedre sikkerhed på din mobil
Her er de største sikkerhedsproblemer i din mobil
Her sejler sikkerheden i dine mobil-apps
Google Play udleverer din adresse og e-mail til app-udviklere
Nokia: Yes, we decrypt your HTTPS data, but don’t worry about it
Så let kan andre snage i billederne på din iPhone
Smartphone sensors reveal security secrets
HTC skal højne sikkerhed
Hul i iPhone giver uvedkommende adgang
Smartphones kan være sårbare
Apple lukker hul i App Store
Ny iOS-opdatering lukker hul i iPhone-adgangskoder
Samsung-telefoner har hul i skærmlås
Hver fjerde bruger mobil enhed uden kode
Antivirus til Android er nem at narre
Lad din mobil op og bliv hacket
Alle kan overvåge dig via din mobils wifi
Flere afsløringer: NSA har adgang til alle smartphones
Fingeraftrykslæser i iPhone kan snydes
Skærmlås i iOS 7 har et nyt hul
App-reklamer har farlige sårbarheder
Stanford researchers discover ‘alarming’ method for phone tracking, fingerprinting through sensor flaws
Thought your Android phone was locked? THINK AGAIN
4,6 millioner bruger-oplysninger fra Snapchat lækket
Mission Impossible: Hardening Android for Security and Privacy
Apple-brugere i farezonen: Din iPhone og iPad piv-åben i ugevis
Ups! Populær chat-app blotter dine private beskeder
Siri giver hul i iPhones skærmlås
Research shows smartphone sensors leave trackable fingerprints
Advarsel: Nulstilling af telefon sletter ikke alle dine data
Sikkerhedsforsker: Apple har lavet egne bagdøre i iOS
“Fake ID”-sikkerhedshul i Android
Apps til Android kan stjæle data
Android-apps har SSL-sårbarheder
Sådan holder spionprogrammer sig skjult på din iPhone
Bug i Android Browser åbner for password-tyveri
Angrebsprogram udnytter hul i iOS 7.1
Mobilsurf: Danske teleselskaber sender dit telefonnummer til hjemmesider
Hul i iOS åbner for forfalskede apps
NSA Hacking of Cell Phone Networks
German researchers discover a flaw that could let anyone listen to your cell calls.
“Black Box” brouhaha breaks out over brute forcing of iPhone PIN lock
Gratis Android-apps har usynlig kontakt til tusindevis af reklameservere
Sikkerhedshul i iOS gør det muligt at lokke iCloud-kodeord fra iPhone-brugere
Slettede data på Android-enheder kan gendannes
Hacking Team-læk afslører: NSA kan have haft adgang til jailbroken IPhones
Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon
Farlige apps kan misbruge fjernstyring
Smartphones lagrer fingeraftryk usikkert
Kendte gratis Android-apps kan hugge dine passwords
Så meget sladrer dine apps om dig – og sådan undgår du at de gør det
Android 5 lock-screens can be bypassed by typing in a reeeeally long password. In 2015
SS7 Phone-Switch Flaw Enabled Surveillance
Apples app-malware er langt mere udbredt end først antaget
Hul i Siri giver adgang til billeder
Think your mobile calls and texts are private? It ain’t necessarily so
App-frygt: Apple fjerner flere apps i sin butik
GCHQ’s SMURF ARMY can hack smartphones, says Snowden. Again.
Apple ekskluderer 256 programmer fra App Store
Sikkerhedsblogger undrer sig: Hvorfor snager Facebook i det, jeg copy-paster i iOS?
Black Hat: Handover får den ellers sikre LTE-protokol til at afsløre din position
Tusindvis af iOS-apps har bagdør
Sikkerhedsniveau i iOS-apps er lige så ringe som i Android-apps
How the iPhone Activation Lock hack works
Beware of ads that use inaudible sound to link your phone, TV, tablet, and PC
Dynamisk opdatering truer iOS-sikkerhed
Fingeraftrykslæsere på smartphones kan hackes med en almindelig printer
Snowden: FBI lyver i sagen om den krypterede iPhone
Malware inficerer iPhones uden jailbreak
Angreb fra wifi kan få din iPhone og iPad til at stege ihjel
Tyske hackere aflytter amerikansk politikers iPhone alene med kendskab til telefonnummer
Programmer til automatisering af hjemmet er sårbare
Amerikansk myndighed til smartphoneproducenter: Hvorfor er I så sløve med sikkerhedsopdateringer?
SS7 spookery on the cheap allows hackers to impersonate mobile chat subscribers
Op mod 900 millioner Android-telefoner kan være ramt af en sikkerhedsbrist
Researchers find ‘severe’ password security hole with IOS 10 backups
iPhone- og iPad-brugere ignorerer sofistikeret spyware
Tog blot 24 timer: Teenager hacker Apples nye iPhone 7
76 apps til iOS er sårbare over for man-in-the-middle-angreb
Pas på denne fup-app til iPhone og iPad: Annoncen for appen fortæller dig slet ikke hele sandheden
Alvorlig sårbarhed i Android åbner en ladeport for trojanere og ransomware
Hackers Unlock Samsung Galaxy S8 With Fake Iris
500 forskellige Android-apps ramt af spyware – downloadet over 100 millioner gange
Slå Bluetooth fra på din telefon: Ny sårbarhed giver kriminelle adgang til din computer eller tablet
Secret chips in replacement parts can completely hijack your phone’s security
App-udvikler: Tvivlsomme pop-ups i iOS kan narre passwords fra selv den bedste
iOS lækker brugers lokations-historik gennem billeders metadata
Opdater til iOS 11 nu – iPhone 7 kan hackes via wifi
Google overvåger din Android-telefon, selvom placering er slået fra
Cellebrite Unlocks iPhones for the US Government
Doctor Web: over 40 models of Android devices delivered already infected from the manufacturers
Iværksætter: Vi kan knække din iPhone-kode – billigt
Analyse: Malware spredt til tusinder af Android-enheder – sådan kan du sikre din
Udvikler af Facebook-quizzer sætter 120 millioner brugeres data over styr
App-udviklere kan læse e-mails fra millioner af Gmail-brugere
Mystisk fejl får Samsung-telefoner til at sende fotos – uden at brugerne aner det
Journalister har afsløret efterretningsfolk via fitness-app
Ny malware opdaget på Android-telefoner: Kan optage samtaler, bruge kameraet og skjule sig selv
Defeating the iPhone Restricted Mode
24 iPhone-apps er blevet afsløret i høst af brugerdata: Her er de oplysninger, som de har indsamlet
Ny passcode bypass rammer iOS og iPhone
Ny service til 25.000 kroner kan bryde ind i låste iPhones og andre smartphones
0-Days Found in iPhone X, Samsung Galaxy S9, Xiaomi Mi6 Phones
Sikkerhedsmand: 500.000 brugere har hentet spil-app med malware