Mystisk spion-software spreder sig til smartphones

Det kommercielle spionprogram FinFisher er nu også fundet på mobile platforme.

Tidligere i denne måned blev det afsløret, at firmaet Gamma International har solgt sit spion-værktøj FinFisher til en række lande, hvor det muligvis bliver brugt til at overvåge politiske dissidenter. Nu fortæller forskere fra Citizen Lab på University of Toronto, at der er fundet mobile udgaver af trojaneren til Android, Blackberry, iOS, Symbian og Windows Mobile.

Dermed ser det ud til, at truslen fra FinFisher er endnu større end hidtil troet. Forskerne skriver, at trojaneren er i stand til at opfange og viderelede telefon-samtaler, sms-beskeder og mails. Det skulle også være muligt at bruge telefonen som en slags skjult mikrofon for at lytte med i samtaler og følge telefonens position med stor nøjagtighed.

Den typiske inficering sker ved at sende en manipuleret e-mail til telefonen. På iOS-enheder bliver den skjulte applikation installeret dybt i systemet, og brugeren bliver ikke informeret. App'en indeholder et gyldigt certifikat, der er udstedt til Gamma International i Tyskland.

Citizen Lab har fundet kontrolservere til FinFisher i ti lande; Etiopien, Bahrein, Brunei, Indonesien, Mongoliet, Singapore, Turkmenistan og de Forenede Arabiske Emirater samt Holland og Tjekkiet. Bortset fra de to sidste er det lande, der er kendt for politisk undertrykkelse.

Gamma praler selv med, at programmet bruger "offensive teknologier til informations-indsamling i verdensklasse".

Ifølge sikkerheds-forskere er programmet i stand til at tage en kopi af skærmbilledet, gemme alle tastetryk, aktivere computerens kamera og mikrofon og samle chat-logs. Det lyder som et klassisk spyware-værktøj - men forskellen er altså, at FinFisher er et kommercielt produkt, der kan købes på det frie marked.

Flere aktivister i Bahrain har modtaget e-mails med FinSpy, som er en del af FinFisher-pakken, og det antydes, at landets regering har forsøgt at bruge programmet til at udspionere sine modstandere.

FinFisher skulle være i stand til at snyde de 40 mest populære antivirus-programmer på markedet og dermed undgå detektering.

Hacker undersøiske kabler
Der er mange andre eksempler på kommercielle spionværktøjer. Firmaerne praler nu med, at selv satellit-kommunikation over Thuraya, Iridium eller VSAT kan aflyttes. Man kan også få firmaerne til at installere malware på telefoner og pc'er, bryde SSL-kryptering på web-forbindelser og trænge ind i optiske fiber-forbindelser.

Glimmerglass Networks fra Silicon Valley fortalte sidste år under en konference, hvordan de kan hacke sig i optiske fibre ved "undersøiske kabel-stationer" eller "internationale gateways". Her er der altså tale om en operation, der kræver fysisk adgang til de pågældende kabler og meget stor ekspertise - noget, der indtil nu har været forbeholdt stater.

Nu ryger der selvfølgelig ganske mange signaler gennem de undersøiske kabler, som forbinder kontinenterne - men Glimmerglass hævder, at man kan fiske lige nøjagtig det ønskede signal ud.

Det færdige resultat skulle være total overvågning af hele telekommunikationen - på et "personal network display" kan man se en komplet oversigt over det enkelte individs aktivitet.

Den syriske regering bruger angiveligt produkter leveret af italienske Area for at udspionere sine modstandere. Både teknologi fra amerikanske NetApp, franske Qosmos og tyske Ultimaco skulle være landet i Syrien gennem en mellemmand.

De kommercielle selskaber har ingen skrupler ved at sælge til lande, der undertrykker deres borgere - og selv om der skulle være eksport-restriktioner, så er det nemt at omgå dem.

"I al for lang tid har vestlige regeringer vendt det blinde øje til, mens vestlige firmaer hjælper med at krænke menneske-rettighederne i Mellemøsten og Nordafrika. Vi opfordrer derfor til at skabe et mere effektivt system til at kontrollere eksporten af farlige teknologier fra Europa og USA. Desuden bør der være større transparens om, hvad overvågningsfirmaerne udvikler og hvem de sælger deres produkter til," skrev Privacy International sidste år.

Mange af disse teknologier fandtes allerede for ti år siden, men dengang blev de kun brugt af efterretningstjenester.

Nu er de landet på det kommercielle marked. Software, som kan knække krypterede forbindelser. Lytte med i satellit-kommunikation. Ja, om nødvendigt kan man sende dykkere ned på havets bund for at bryde ind i søkabler.

Det kræver ikke længere et opkald fra det Hvide Hus. Det kræver kun, at du har pengepungen i orden.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Tieto Denmark A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Microsofts løsninger: Mod den store digitale transformation

Vi er for fuld fart i gang med den store digitale transformation, der med smarte it-systemer kommer til at ændre en meget stor del af vores processer, produktion og måde at arbejde på. På denne konference vil du kunne høre om de seneste bud på it-systemer, der i Microsoft-universet understøtter kursen mod den digitale transformation og smart it-udnyttelse.

28. februar 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

01. marts 2017 | Læs mere


Bliv klar til EU's persondataforordning: It-opgaver, ansvar og teknologiske muligheder

EU's persondataforordning træder i kraft 25. maj 2018, og det er en stor opgave at få gjort it-setuppet i organisationerne klar. Få overblik over regler og konsekvenser for it-afdelingen og virksomhedens it-ansvarlige, samt indblik i en stribe teknologier, der kan hjælpe til at efterleve kravene.

08. marts 2017 | Læs mere





CIO
It-chef i dybet: "Hele vores it-infrastruktur er jo bygget op fra bunden, og alt - inklusive mig selv - forsvinder jo, når vi er færdige i 2018"
Interview: Martin Lauritsen er it-chef på Metro-byggeriet i København, hvor han skal holde internettet i gang og industrispioner ude af 22 byggepladser i hovedstaden. Det er noget af en opgave.
Comon
Sådan installerer du Googles bil-system, Android Auto, på din smartphone
Android Auto har indtil nu krævet en bil med indbygget computer med touchskærm for at kunne fungere. Nu kan du installere systemet på din Android-telefon og benytte den som bil-computer og navigations-system. Se her, hvordan du gør.
Channelworld
Tidligere Atea-boss Claus Hougesen er færdig som direktør i 3A-it: Her er årsagen
Claus Hougesen er stoppet som administrerende direktør for 3A-it og har i stedet overladt posten til Preben Jensen, der ligeledes har en fortid hos Atea.
White paper
Stor undersøgelse: Det forventer danske it-folk på jobbet
I samarbejde med it-jobbank har Computerworld undersøgt, hvad it-folk lægger vægt på i et job. Flere end 2.000 it-folk deltog blandt Computerworlds og it-jobbanks brugere i juli og august måned 2016.