Din mobil enhet läcker varje minut en del personlig data om dig och din omgivning

Appar och dess behörigheter

Hacker, cracker, cyber hot, virus, malware, mm är idag nästan vardags mat för uppkopplade användare. Hoten ökar tyvärr för varje dag och angreppsättet blir allt mer raffinerade och därmed svårare att upptäcka i god tid eller i varje fall före skadan är skedd. Att läcka personlig data är inget som märks direkt och därmed ännu svårare än att upptäcka virus. Programutvecklarna för t.ex. PC är vana att kunna få tillgång till samtliga behörigheter i PC:en genom att visa en enkel varningsruta på skärmen och en aktiv godkännande av användaren då kan programmet utföra nästan vad som helst på PC:en. Eventuella system och programmeringsfel kan leda till att en hacker utnyttjar sårbarheterna och applikationen och PC:en tas över av hacker.

Modernare operativsystem exempelvis Android har en egen ”struktur för applikationsbehörighet” d.v.s. begäran till var och en av behörigheter måste i samband med kompilering deklareras. Användaren kan vid installation bedöma och bestämma lämpligheten av att den berörda appen skall få tillgång till de begärda behörigheter eller att användaren avstår från att installera appen. En behörighet som kan röra sig om tillstånd att få utföra ett samtal, skicka/ta emot SMS/MMS, spela in video, spela in ljud, titta/ändra i kontaktlistan, lägga till/ta bort notiser i kalender och mycket mer. Utmärkt information för den uppmärksamme och försiktige användare som är rädd om sin datasäkerhet och integritet på Internet. Min uppfattning är att de flesta användare i iver för att snabbt kunna nyttja en ny applikation godkänner alldeles för lättvindigt tillåter för många behörigheter utan någon vidare funderingar av konsekvenserna. Efter enklare analys av flertal nyttiga och användbara Android applikationer fann jag att de flesta av dessa kräver godkännande och får FÖR MYCKET behörigheter. Frågeställningen är att om de begärda behörigheterna är nödvändiga och om användarnaren har gjort sin egen bedömning om nyttan med applikationen kontra eventuella risker. Har du möjligtvis funderat på nyttan i jämförelse med potentiella risker om ditt data och integritet?

Jag är övertygad att de flesta större och seriösa svenska företag respekterar och lyder de svenska lagar och försöker inte på något sätt att lura användaren och olovligen samla in data om den enskilde användaren, dennes sociala krets, vanor, hälsotillstånd, bank information, mm. Men för många onödiga behörigheter i fel händer kan innebära uppenbara och stora risker för individer och dess privata och professionella omgivning. Naturligtvis det är upp till var och en av oss att bestämma om det är ok att ”läcka” information i nätet eller inte, det viktiga är att medvetenheten om att läckt personlig data inte kan bli ogjort. Följande är en kort analys, baserade på ett antal Android applikationer som förhoppningsvis skapar bättre förståelse om möjliga spridning av personlig data från mobila enheter. I mina undersökningar ingår applikationer från Taxi, resor, telekom, nyttoprogram och sociala appar. Observera att i mina observationer ingår inga iPhone appar beroende på begränsade tillgång till iPhone.

Taxi

Samtliga testade Taxi-appar samlar den geografiska positionen. Med tanke på att resenären måste ange till och från verkar inhämtning av geografisk data onödigt. Att Taxi-appar får behörighet att ändra eller ta bort innehållet i USB enheten, t.ex. extra SD-minneskorten och även kunna ”ringa samtal direkt”, känns inte så särskilt lämpligt. Jag är helt förvånad att både TaxiKurir och 020 appen har möjlighet att kunna ta bilder, spela in video.

Hur ser behörigheterna i Taxi appar?
Hur ser behörigheterna i Taxi appar?

SJ och SL

SJ:s applikation verkar vara förbruka onödigt många behörigheter. Att ”kunna ändra systeminställningar” eller ”läs konfiguration av Google tjänster” eller ”köra vid start” ser ut som något onormalt för den typen av applikation. Både SL och USB kommer åt för att kunna läsa USB enheten medan SJ kan ändra eller ta bort innehållet också. Vem vet kanske användaren tycker det är ok ändå att installera SJ:s app medan andra kanske föredrar att ta bort appen efter användningen.

SJ och SL app
Vilka behörigheter har SJ app eller SL app

Tidningar

Tidningarna ser ut att begära för stora behörigheter för sina appar, de flesta av tidningsappar samlar in kontoinformation borde inte vara ok i relation med personligintegritet. Jag kan tänka mig att det är guldgruva för tidningen att koppla ihop intresseområden (artiklar, reklam, filmer) kopplad till ett namn, mobilnummer. Det innebär att individen läcker personlig information efter varje klick på tidning siten. Geografiska positionen är ett annat intresseområde för tidningar. Att läcka EXAKT och ungefärlig position tillsammans med kontoinformation för mobilen är djupt inskränkande i ens privata integritet. USB enheten dvs SD-kort (eller USB hårddisk eller minne) är något tidnings appar har möjlighet att läsa, ändra eller ta bort innehållet. Appar från Svd toppnyheter och Sydsvenskan nyheter har även möjlighet att ta kort, spela in video eller ljud. Jag kan tänka mig att möjligtvis det är avsedd för att rapportera in någon händelse av ”medborgare journalister” men frågan är om man inte borde ha en specifik app för det ändamålet. DN och Aftonbladet Supernytt appar har också möjlighet att hämta filer utan avisering, det är precis som om de äger användarens mobila enhet.

För närvarande DN, Aftonbladet, Sydsvenskan Nyheter verkar ha mycket god aptit att använda så många behörigheter som möjligt och därmed bör deras appar hanteras med försiktighet.

Appar från Svenska tidningar,
Appar från Svenska tidningar,

Telekom

Appar från de svenska mobiloperatörerna visar stor skillnad med avseende på nyttjande av applikationsbehörigheter. Telia Säker mobil verkar använda en majoritet av behörigheter, denna tjänst ser ut att utföra flertal ingående tjänster och därmed ser ut att behöva ha dessa behörigheter tilldelade. Min avsikt är inte att analysera Telia Säker mobil eftersom jag saknar kunskap och insyn för denna tjänst. Generellt gäller att för höga behörigheter ökar säkerhetsriskerna. Då Telia är en del av kretsloppet när det gäller mobil teknologi, Android Operativsystem och säkerhet från hårdvarutillverkaren då borde osäkerheten stundtals bli stor, tex vid zero day och applikationen har all behörighet.

Generellt gäller att appar från de flesta mobiloperatörer använder ett fåtal behörigheter. Comviq appen har behörighet att både ringa och skicka SMS. Hallon (del av Tre) och Telenor One (företagsnät och växel) har rättighet att läsa i kontaktdata. Appen från Wifog som är gratis mobiltelefoni använder sig av ett fåtal behörigheter idag. De flesta telekom appar kan ringa samtal medan Telenor One även kan omdirigera utgående samtal, antagligen i felavhjälpningssyfte men felanvändning eller i fel händer kan få oanade konsekvenser. ComHem:s app har tillgång till stor del av behörigheter och därmed en bra kandidat för säkerhetsrisker.

Hur mycket vet du om svenska telekom appar, är de säkra?
Hur mycket vet du om svenska telekom appar, är de säkra?

Sociala appar och nyttoprogram

Bredbandskollen är en känd app från Internet Infrastruktur som i flera år utfört användare mätningar inom mobila nätverken. Applikationen trots sin sär inställning hos mobila användaren använder sig av ett få tal behörigheter. Gmail är vanligt förekommande applikation också för Android mobila enheter so har tillgång till många (kanske tom för många känsliga behörigheter). Appen levererar också en hel del tjänster och därmed behörigheterna är nödvändiga. Det finns en del information om vissa hacker grupper tom stater har försökt och knäckt Gmail för att komma åt information om vissa individer. Vid sådana händelser kommer den mobila enheten att läcka all konfidentiell data. Skype är numera ägd av Microsoft och mycket populär. Applikationen tilldelas alldeles för många behörigheter och eventuella säkerhetsproblem kan få stora konsekvenser för användaren. I denna grupp. Både Linkedin och Twitter har enligt mitt sätt att se för mycket behörigheter och kan snoka för mycket i den mobila appen. Facebook är den mest slukande behörighet appen i denna grupp. Visste du att Facebook kan läsa och skriva i din samtalslogg, ringa, skicka SMS/MMS, ta bilder, spela in ljud, spela in video, mm.

Hur säkra är apparna Facebook, Skype, Gmail , Twitter, bredbandskollen, mm
Hur säkra är apparna Facebook, Skype, Gmail , Twitter, bredbandskollen, mm

Hur gå vidare?

Jag kan berätta hur jag gör och det är upp till var och en och bedöma och välja hur man skall gå vidare och hur agera i framtiden. Mitt förslag är att titta bland annat på följande steg och välj det som passar just dig

  • Behövs appen, kontra risker, läs igenom behörighetslistan ?
  • Behövs appen vara installerad alltid? Det går att installera före användningen och därefter avinstallera
  • Behövs appen startas när jag startar min mobil enhet? Det går att spara både batteri, internet datamängd, CPU-kraft genom att endast starta vid användning.
  • Kryptering Att kryptera kan vara en del av lösningen men glöm inte att kryptering inte ger den generella lösningen. Kryptering kan också dekrypteras. Vad är konsekvenser för krypteringen vid kopiera/backa upp till/från en annan enhet.

Har jag missat något? uppfatta fel, vill du komplettera? Hör gärna av dig

Advertisements

One thought on “Din mobil enhet läcker varje minut en del personlig data om dig och din omgivning

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s