Her er de 10 alvorligste smartphone-trusler

Annonceindlæg fra SoftwareOne

Quantum computing bliver næste konkurrenceparameter

Danske virksomheder bør forberede data og systemer på at spille sammen med fremtidens kvanteteknologi.

Lige så mange funktioner, smartphones tilbyder, lige så mange potentielle sikkerhedsproblemer rummer de.

Specielt som udbredelsen af smartphones vinder frem - i tredje kvartal blev der globalt solgt 80 millioner styks - bliver de et mere attraktivt mål for hackere.

På den baggrund har ENISA, EU's cybersikkerhedsagentur, i en ny rapport udpeget en række sikkerhedstrusler, som de intelligente mobiler skaber. Agenturet har også en række anbefalinger.

Listen er sammenstykket med konsulenthjælp fra en lang række eksperter fra firmaer, universiteter og myndigheder.

Her er truslerne mod smartphones:

• Datalæk ved tyveri: Hvis smartphones-ejere får stjålet en smartphone uden beskyttelse, kan tyven stjæle data og eventuelt misbruge dem. Mobiler er ofte ved hånden og er derfor populære at gemme informationer på, eksempelvis pinkoder.
• Datalæk ved salg: Hvis smartphone-ejere videresælger deres telefon uden at slette data ordentlig, kan andre finde frem til dem.
• Manglende kendskab til privatlivsindstillinger: Mange ejere af smartphones er ikke i stand til at sætte deres privatlivsindstillinger, hvorfor de videregiver private oplysninger uden at vide det. Eksempelvis viser hjemmesiden Icanstalku.com, hvordan man via metadata i billeder på Twitter-profiler kan vurdere, hvor brugeren befinder sig.
• Tyvagtige applikationer: Phishere bruger applikationer, emails og sms-beskeder til at stjæle adgangskoder og kreditkort-oplysninger.
• Spyware: Applikationer henter informationer, eksempelvis mobilnummer og brugeroplysninger, og bruger dem uden tilladelse. Et eksempel kan være en vejr-applikation, som har tilladelse til at bruge mobilens lokation til at tilbyde specifikke vejr-informationer, men uden tilladelse bruger oplysningen til med markedsføring for øje. Mulighederne er mange. I iPhones styresystem, iOS, kan alle apps tilgå telefonbogen og tastatur-cache (som ikke indeholder passwords, men dog andre personlige informationer).
• Falske netværk (network spoof): Hackere bruger åbne netværk, eksempelvis WiFi-netværk og Bluetooth-forbindelser, til at opsnappe information fra brugere, der uvidende om faren logger sig på. Det er også muligt at lave en falsk GSM-basestation til at opsnappe information (dog ikke muligt med 3G, der har netværksnøgler).
• Overvågning: Spionage mod personer ved at lave et målrettet angreb mod en persons smartphone (præsident Barack Obamas Blackberry eksempelvis).
• Diallerware: Tjenester, der ringer op eller sender sms-beskeder (SMiShing) til indholdstakserede numre.
• Finans-malware: Malware med specifikt fokus på at lænse folks bankkonti ved at stjæle kreditkortinformationer, login-oplysninger eller bryde ind i netbanken. Det kan eksempelvis ske ved at sofistikerede angreb, hvor it-kriminelle opsnapper bankkoder sendt via sms. I Danmark har bankerne foreløbigt valgt koder på papkort, hvilket skulle mindske risikoen for disse angreb.
• Netværks-belastning: Smartphones, der eksempelvis konstant opdaterer applikationer, sluger massive båndbredder, og mange smartphones på et netværk kan i værste tilfælde sinke trafikken markant. En typisk smartphone sender otte gange så mange signaler til mobilmasten end en bærbar med en usb-dongle. Nye netværksteknologier, som LTE, udnytter frekvensbåndbredden bedre, men der er frygt for, at teknologierne er ved at nå et teoretisk maksimum i udnyttelsen af bølgerne i luften. Ved usædvanlige episoder, for eksempel vulkanudbruddet på Island sidste år, øges presses på netværkene. ENISA anbefaler "quality of service (QoS)"-muligheder for centrale og vigtige tjenester på mobilnetværkene.

ENISA vurderer samtidig, at smartphones gør det muligt at lave nye, katastrofale angreb på vigtige samfundsfunktioner. Eksempelvis kan ondsindet applikation få et stort antal telefoner til at ringe op til 112 på samme tidspunkt og dermed lamme alarmcentralen.

Selv om der er en række sikkerhedsproblemer ved smartphones, så er det ikke jordens undergang, de nye dimser indvarsler. Agenturet har også sammensat en liste over anbefalinger til, hvordan producenter af smartphones kan skabe sikre systemer i deres smartphones.

Disse sikkerhedsfordele har smartphones:

• Sandkasser: De fleste smartphones-systemer bruger sandkasser (sandboxing) til apps, hvor tredjeparts-applikationer har et begrænset adgang til styresystemet.
• Kontrolleret distribution af software: Fænomener som iTunes App Store, Android Marked og andre walled gardens er med til at gøre det muligt at smide lurvede applikationer på porten.
• Fjern-fjernelse af applikationer: Funktionaliteter, der tillader, at man kan fjerne applikationer fra centralt hold. Eksempelvis Android er i stand til at fjerne applikationer fra brugernes mobiler, hvis de er farlige. Enisa har et forbehold over for denne funktion, nemlig usikkerheden omkring, hvornår en applikation er ondsindet. Metoden kan have juridiske komplikationer.
• Back up og genskabelse: De fleste smartphones har fra fødslen muligheder for back up af data.
• Login-muligheder: Smartphones kan læse smartcards, som man kan lægge PKI-nøgler på. PKI står for Public Key Infrastructure og er login-løsninger med digitale signaturer. Simkortet er også et smartcard og kan i teorien indeholde signaturer.
• Ekstra kryptering af telefonopkald: Applikationer tilbyder kryptering på telefonsamtaler udover teleselskabets kryptering af nettet.
• Forskellige platforme: Smartphone-markedet er del op i en række forskellige miljøer (iPhone, Android, Blackberry, Symbian, Windows Phone og andre), hvilket gør det svært for it-kriminelle at ramme en stor målgruppe på en gang.