Din mobil enhet läcker varje minut en del personlig data om dig och din omgivning

Appar och dess behörigheter

Hacker, cracker, cyber hot, virus, malware, mm är idag nästan vardags mat för uppkopplade användare. Hoten ökar tyvärr för varje dag och angreppsättet blir allt mer raffinerade och därmed svårare att upptäcka i god tid eller i varje fall före skadan är skedd. Att läcka personlig data är inget som märks direkt och därmed ännu svårare än att upptäcka virus. Programutvecklarna för t.ex. PC är vana att kunna få tillgång till samtliga behörigheter i PC:en genom att visa en enkel varningsruta på skärmen och en aktiv godkännande av användaren då kan programmet utföra nästan vad som helst på PC:en. Eventuella system och programmeringsfel kan leda till att en hacker utnyttjar sårbarheterna och applikationen och PC:en tas över av hacker.

Modernare operativsystem exempelvis Android har en egen ”struktur för applikationsbehörighet” d.v.s. begäran till var och en av behörigheter måste i samband med kompilering deklareras. Användaren kan vid installation bedöma och bestämma lämpligheten av att den berörda appen skall få tillgång till de begärda behörigheter eller att användaren avstår från att installera appen. En behörighet som kan röra sig om tillstånd att få utföra ett samtal, skicka/ta emot SMS/MMS, spela in video, spela in ljud, titta/ändra i kontaktlistan, lägga till/ta bort notiser i kalender och mycket mer. Utmärkt information för den uppmärksamme och försiktige användare som är rädd om sin datasäkerhet och integritet på Internet. Min uppfattning är att de flesta användare i iver för att snabbt kunna nyttja en ny applikation godkänner alldeles för lättvindigt tillåter för många behörigheter utan någon vidare funderingar av konsekvenserna. Efter enklare analys av flertal nyttiga och användbara Android applikationer fann jag att de flesta av dessa kräver godkännande och får FÖR MYCKET behörigheter. Frågeställningen är att om de begärda behörigheterna är nödvändiga och om användarnaren har gjort sin egen bedömning om nyttan med applikationen kontra eventuella risker. Har du möjligtvis funderat på nyttan i jämförelse med potentiella risker om ditt data och integritet?

Jag är övertygad att de flesta större och seriösa svenska företag respekterar och lyder de svenska lagar och försöker inte på något sätt att lura användaren och olovligen samla in data om den enskilde användaren, dennes sociala krets, vanor, hälsotillstånd, bank information, mm. Men för många onödiga behörigheter i fel händer kan innebära uppenbara och stora risker för individer och dess privata och professionella omgivning. Naturligtvis det är upp till var och en av oss att bestämma om det är ok att ”läcka” information i nätet eller inte, det viktiga är att medvetenheten om att läckt personlig data inte kan bli ogjort. Följande är en kort analys, baserade på ett antal Android applikationer som förhoppningsvis skapar bättre förståelse om möjliga spridning av personlig data från mobila enheter. I mina undersökningar ingår applikationer från Taxi, resor, telekom, nyttoprogram och sociala appar. Observera att i mina observationer ingår inga iPhone appar beroende på begränsade tillgång till iPhone.

Taxi

Samtliga testade Taxi-appar samlar den geografiska positionen. Med tanke på att resenären måste ange till och från verkar inhämtning av geografisk data onödigt. Att Taxi-appar får behörighet att ändra eller ta bort innehållet i USB enheten, t.ex. extra SD-minneskorten och även kunna ”ringa samtal direkt”, känns inte så särskilt lämpligt. Jag är helt förvånad att både TaxiKurir och 020 appen har möjlighet att kunna ta bilder, spela in video.

Hur ser behörigheterna i Taxi appar?
Hur ser behörigheterna i Taxi appar?

SJ och SL

SJ:s applikation verkar vara förbruka onödigt många behörigheter. Att ”kunna ändra systeminställningar” eller ”läs konfiguration av Google tjänster” eller ”köra vid start” ser ut som något onormalt för den typen av applikation. Både SL och USB kommer åt för att kunna läsa USB enheten medan SJ kan ändra eller ta bort innehållet också. Vem vet kanske användaren tycker det är ok ändå att installera SJ:s app medan andra kanske föredrar att ta bort appen efter användningen.

SJ och SL app
Vilka behörigheter har SJ app eller SL app

Tidningar

Tidningarna ser ut att begära för stora behörigheter för sina appar, de flesta av tidningsappar samlar in kontoinformation borde inte vara ok i relation med personligintegritet. Jag kan tänka mig att det är guldgruva för tidningen att koppla ihop intresseområden (artiklar, reklam, filmer) kopplad till ett namn, mobilnummer. Det innebär att individen läcker personlig information efter varje klick på tidning siten. Geografiska positionen är ett annat intresseområde för tidningar. Att läcka EXAKT och ungefärlig position tillsammans med kontoinformation för mobilen är djupt inskränkande i ens privata integritet. USB enheten dvs SD-kort (eller USB hårddisk eller minne) är något tidnings appar har möjlighet att läsa, ändra eller ta bort innehållet. Appar från Svd toppnyheter och Sydsvenskan nyheter har även möjlighet att ta kort, spela in video eller ljud. Jag kan tänka mig att möjligtvis det är avsedd för att rapportera in någon händelse av ”medborgare journalister” men frågan är om man inte borde ha en specifik app för det ändamålet. DN och Aftonbladet Supernytt appar har också möjlighet att hämta filer utan avisering, det är precis som om de äger användarens mobila enhet.

För närvarande DN, Aftonbladet, Sydsvenskan Nyheter verkar ha mycket god aptit att använda så många behörigheter som möjligt och därmed bör deras appar hanteras med försiktighet.

Appar från Svenska tidningar,
Appar från Svenska tidningar,

Telekom

Appar från de svenska mobiloperatörerna visar stor skillnad med avseende på nyttjande av applikationsbehörigheter. Telia Säker mobil verkar använda en majoritet av behörigheter, denna tjänst ser ut att utföra flertal ingående tjänster och därmed ser ut att behöva ha dessa behörigheter tilldelade. Min avsikt är inte att analysera Telia Säker mobil eftersom jag saknar kunskap och insyn för denna tjänst. Generellt gäller att för höga behörigheter ökar säkerhetsriskerna. Då Telia är en del av kretsloppet när det gäller mobil teknologi, Android Operativsystem och säkerhet från hårdvarutillverkaren då borde osäkerheten stundtals bli stor, tex vid zero day och applikationen har all behörighet.

Generellt gäller att appar från de flesta mobiloperatörer använder ett fåtal behörigheter. Comviq appen har behörighet att både ringa och skicka SMS. Hallon (del av Tre) och Telenor One (företagsnät och växel) har rättighet att läsa i kontaktdata. Appen från Wifog som är gratis mobiltelefoni använder sig av ett fåtal behörigheter idag. De flesta telekom appar kan ringa samtal medan Telenor One även kan omdirigera utgående samtal, antagligen i felavhjälpningssyfte men felanvändning eller i fel händer kan få oanade konsekvenser. ComHem:s app har tillgång till stor del av behörigheter och därmed en bra kandidat för säkerhetsrisker.

Hur mycket vet du om svenska telekom appar, är de säkra?
Hur mycket vet du om svenska telekom appar, är de säkra?

Sociala appar och nyttoprogram

Bredbandskollen är en känd app från Internet Infrastruktur som i flera år utfört användare mätningar inom mobila nätverken. Applikationen trots sin sär inställning hos mobila användaren använder sig av ett få tal behörigheter. Gmail är vanligt förekommande applikation också för Android mobila enheter so har tillgång till många (kanske tom för många känsliga behörigheter). Appen levererar också en hel del tjänster och därmed behörigheterna är nödvändiga. Det finns en del information om vissa hacker grupper tom stater har försökt och knäckt Gmail för att komma åt information om vissa individer. Vid sådana händelser kommer den mobila enheten att läcka all konfidentiell data. Skype är numera ägd av Microsoft och mycket populär. Applikationen tilldelas alldeles för många behörigheter och eventuella säkerhetsproblem kan få stora konsekvenser för användaren. I denna grupp. Både Linkedin och Twitter har enligt mitt sätt att se för mycket behörigheter och kan snoka för mycket i den mobila appen. Facebook är den mest slukande behörighet appen i denna grupp. Visste du att Facebook kan läsa och skriva i din samtalslogg, ringa, skicka SMS/MMS, ta bilder, spela in ljud, spela in video, mm.

Hur säkra är apparna Facebook, Skype, Gmail , Twitter, bredbandskollen, mm
Hur säkra är apparna Facebook, Skype, Gmail , Twitter, bredbandskollen, mm

Hur gå vidare?

Jag kan berätta hur jag gör och det är upp till var och en och bedöma och välja hur man skall gå vidare och hur agera i framtiden. Mitt förslag är att titta bland annat på följande steg och välj det som passar just dig

  • Behövs appen, kontra risker, läs igenom behörighetslistan ?
  • Behövs appen vara installerad alltid? Det går att installera före användningen och därefter avinstallera
  • Behövs appen startas när jag startar min mobil enhet? Det går att spara både batteri, internet datamängd, CPU-kraft genom att endast starta vid användning.
  • Kryptering Att kryptera kan vara en del av lösningen men glöm inte att kryptering inte ger den generella lösningen. Kryptering kan också dekrypteras. Vad är konsekvenser för krypteringen vid kopiera/backa upp till/från en annan enhet.

Har jag missat något? uppfatta fel, vill du komplettera? Hör gärna av dig

Advertisements

Nätskummisars SMS : “Du är i final: Hämta 5000 kr på ..”

Nätbedragarna är i farten igen, denna gång avsändaren är mobilnumret 0762361701 eller +46762361701 som är en Tele2 kund och skickar SMS med följande text:
”Du är i final: Hämta 5000 kr på Statoil, SIBA eller Vero Moda. Klicka här: http://goo.gl/hNVDfW”
Även denna gång har bedragarna tydligen haft bråttom och inte tänkt färdigt , ”du är i final” och hämta ”5000 kronor” verkar inte vara genomtänkt.

Nätskummissar i Sverige
R19Y.com
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701

Vart leder länken?
http://goo.gl/hNVDfW leder till http://www.r19y.com/quiz/. Det är intressant att se att r19y är upplagd den 7:e januari 2015 av GoDaddy (ett amerikansk företag som bland annat reserverar domäner till sina kunder). R19y.com har IP-adressen 190.97.165.233 och är registrerat i Panama. Även http://www.qu5t.com/ har samma IP-adress (190.97.165.233) som används av R19Y.com. En snabb analys av sidan visar att det utförs inte mycket mer än att visa en sida med ”opt out” och begäran att fylla i telefonnummer och efternamn. “Opt out” innebär att man i princip tackar nej till att ta emot marknadsmeddelanden, reklam och dylikt vilket i detta fall verkar vara helt meningslöst.  Att samla in namn och telefonnummer och spara i någon databas för kommande marknadsföring kan inte vara så bra affärsidé eftersom sådana databaser finns redan. Däremot kan tänkas att hemsidan och vid senare tillfälle är det tänkt att utföra vissa elaka aktiviteter hos användarens smart telefon, bärbara enheter eller PC. Hemsidan r19y.com är registrerat bara för en vecka sedan och driften sker i Panama. Två alternativ finns det till hands det ena är att de inte hunnit att installera de elaka programmen på hemsidan ännu det andra är att detta är genomtänkt verksamhet att utföra skumraskaffärer under kortare tid och sedan ”spårlöst” försvinna.

Server                 IP-nummer
R19y.com           190.97.165.233 qu5t.com            190.97.165.233
Internet service provider är Cyber Cast International, S.A. i Panama

I mina tidigare blogg ( Nätskummisar skickar SMS/MMS genom att använda kryphål och Nätskummisar är i farten nu igen   ) berörde jag nätskummisarna som använde sig av SMS för sina ännu ”okända” verksamhet.

Nätbedragarna skickar SMS från mobilnumret 0762361701
Nätbedragarna skickar SMS från mobilnumret 0762361701

Går det inte att stoppa dessa bedragare i Sverige innan bedragarna skapar större problem?

Mobilnumret 0762361701 är kund hos Tele2 och jag gjorde ett försök genom att kontakta supporten. Jag fick chatta med en god representant från Tele2 och berättade om problemet och om han och/eller Tele2 kunde stoppa denna bedragare. Jag fick tyvärr svaret ”vi kan inte göra något”. Jag har förståelse att kanske denna typ av frågor är inte vardagliga problem för kundsupport att lösa däremot tror jag att en företagspolicy borde reglera detta. Känner du möjligtvis till hur operatörer gör, borde göra eller enligt regelverket skall göra ?

Notera att med hänsyn till personlig integritet samtliga namn i Tele2 chatten har avsiktligt i tagits bort.

Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)
Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)
tele2-2
Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)
tele2-30
Nätbedragarna skickar SMS från mobilnumret 0762361701 (Tele2 kund)

Home network during three minutes netwrok attacks, including attackers IP numbers and ….

An experimental scanning/Control of my home network in a very short period of about less than 3 Minutes during last week showed some scary information.

The collected information shows illegal/unauthorized network access to my home network (not any PC:s/computers). Some of these attacks were made very professionally with good network skills and advanced network attacks tools while others were performed by more simpl tools like port scanners.

Intensive attacks

Up to 12 attackers made measured attacks in row and with same IP-address, these attacks were performed from the US network provider, Network providers from Taiwan and UK. Even China Telecom belong to this group with 5 attacks in row. It seems that the attackers in this category are really ”result oriented”.

NetAttacksJan2015
Networks attacks to home network in only 3 Minutes sorted by country, January 2015


Networks attacks sorted by country

Unauthorized access from China Telecom users were the top performer with 71 attacks, I could notice that two attacks were made from China Mobile Telecom with a mobile device. Unfortunately I also found unauthorized access from Swedish ISP as number two in the attackers list which I never expected . The USA became number three with access from well-known operators like MCI/Versizon, Comcast, Time Warner, Etc. Another big surprise was unauthorized access from countries like France, England, Netherlands, Switzerland.

3MinutesNetAttackJan2015
Networks attacks to home network in only 3 minutes in January 2015 (sorted by top attackers in row)

The complete list of attackers

A complete list of IP-addresses listed below hopefully could be interesting for those of you who may want to digging into some details for finding more detailed information.

IP-number Number of attacks
in row
Country
104.238.194.202 1 USA
104.238.194.202 1 USA
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.146.13 1 Sweden
109.228.148.171 1 Sweden
109.228.148.171 1 Sweden
109.228.148.171 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Sweden
109.228.161.84 1 Turkey
109.228.161.84 1 Turkey
109.228.161.84 1 Turkey
109.228.161.84 1 Turkey
109.228.161.84 1 China
109.228.161.84 1 China
109.228.161.84 1 China
109.228.254.49 1 China
109.228.254.49 1 China
109.228.254.49 1 China
109.228.254.49 1 China
109.9.43.31 1 China
110.52.223.105 1 China
111.123.180.44 1 China
111.123.180.44 1 Taiwan
111.123.180.44 1 Taiwan
111.123.180.44 1 Taiwan
111.207.253.193 1 China
111.207.253.193 1 China
111.67.203.41 1 China
111.67.203.41 1 China
113.108.21.16 1 China
113.140.217.54 1 China
113.140.217.54 1 China
114.37.63.223 1 China
114.37.63.223 1 China
114.37.63.223 1 China
115.231.218.23 1 China
122.225.103.74 1 China
122.225.109.112 1 China
122.225.109.117 1 China
122.225.109.213 1 Switzerland
122.225.97.67 1 Russia
122.225.97.87 1 France
122.225.97.99 1 USA
123.151.42.61 1 USA
123.249.26.221 1 China
123.249.26.221 1 China
123.249.26.221 1 USA
123.249.26.221 1 Switzerland
123.249.26.221 1 Taiwan
123.249.26.221 1 USA
125.64.35.67 1 AUSTRIA
141.255.164.162 1 AUSTRIA
146.185.239.104 1 England
164.177.26.6 1 Switzerland
168.184.14.77 1 Russia
168.184.14.77 1 Russia
180.153.162.150 1 Ukrain
182.18.9.144 1 USA
183.252.52.179 1 USA
184.105.247.200 1 Italy
185.35.62.79 1 China
190.27.199.123 1 China
190.27.199.123 1 China
190.27.199.123 1 China
190.27.199.123 1 China
190.27.199.123 1 Taiwan
192.3.99.18 1 China
194.118.126.18 1 China
194.118.126.18 1 USA
194.28.157.140 1 USA
195.141.222.170 1 Switzerland
195.191.64.199 1 France
195.191.64.199 1 France
195.211.154.180 1 France
199.83.94.72 1 Serbia
199.83.94.78 1 Netherlands
207.182.140.122 1 Thailand
217.112.97.187 1 China
218.2.0.126 1 China
218.77.79.38 1 China
218.77.79.38 1 China
218.77.79.43 1 China
218.77.79.55 1 China
220.136.174.214 1 China
220.136.174.214 1 China
222.186.21.202 1 China
223.10.131.69 1 China
223.10.131.69 1 China
24.149.193.70 1 China
24.149.193.70 1 China
24.149.193.70 1 China
31.7.57.198 1
37.59.138.101 1 China
46.105.54.158 1 China
46.105.54.158 1 China
5.172.36.245 1 China
5.79.77.194 1 Switzerland
5.79.77.194 1 France
5.79.77.194 1 Fance
5.79.77.194 1 France
58.97.74.88 1 France
60.169.78.70 1
60.173.10.171 1 USA
60.173.26.55 1 China
60.173.9.250 1
60.190.216.36 1
61.147.70.101 1 USA
61.160.213.108 1 USA
61.160.213.108 1 USA
61.160.213.38 1 USA
61.160.213.38 1 USA
61.160.213.38 1 Sweden
61.160.213.38 1 Sweden
61.160.213.38 1 England
61.160.213.54 1 England
61.160.224.128 1 France
61.160.224.129 1 Russia
61.160.224.130 2 Sweden
61.174.51.207 2 Sweden
61.240.144.65 2 Sweden
61.240.144.67 2 Sweden
62.202.16.135 2 Sweden
62.210.146.81 2 Sweden
62.210.189.195 2 France
62.210.246.220 2 China
62.210.83.136 2 China
65.209.36.34 2 Taiwan
65.209.36.34 2 China
65.209.36.34 2 China
65.209.36.34 2
66.240.192.138 2
68.143.130.150 2 Norway
68.43.40.234 2 England
68.43.40.234 2 France
68.43.40.234 2 Netherlands
68.43.40.234 3 China
68.67.73.20 3 China
69.63.4.107 3 Taiwan
70.195.1.100 3 Taiwan
70.89.75.65 3 Taiwan
71.61.253.169 3 Netherlands
71.61.253.169 3 Netherlands
72.179.133.197 3 Netherlands
72.179.133.197 3
74.120.148.142 3 USA
74.134.234.1 3 England
74.134.234.1 3 AUSTRIA
79.160.45.88 4 China
81.170.140.243 4 USA
81.170.140.243 4
85.255.235.61 5 England
89.26.117.5 6
90.204.176.105 7
90.204.176.105 8 Taiwan
90.204.176.105 12
90.204.176.105 1 Sweden
90.6.194.148 1
90.6.194.148 1
92.222.20.123 1 USA
93.170.92.198 1
93.180.5.26 1 France

Nätskummisar skickar SMS/MMS genom att använda kryphål

För ett tag sedan skrev jag om nätskummisar som skickade ett SMS från ett USA/Canada mobilnummer ( 001 252 627 94 95 ) för att informera mig att jag vann 10.000 svenska Kronor i check på COOP och jag hade bara tid till 23:59 samma kväll för att kunna nyttja erbjudandet. Fantastiskt men det var som väntat FALSKT med syfte att samla in information och dessutom skicka besökaren till “test musik/video site”. Nätskummisarna försökte på nytt, fast denna gång har man hittat något kryphål. Jag fick ett nytt SMS den 26 november från en okänd nummer men med samma tillvägagångssätt, innehåll och dessutom mot samma slutliga webb-sidan. Det som förvånade mig mest var att SMS:et saknade mobilnummer för avsändareen. En snabb granskning av meddelandet visar att sändare informationen är ersatt med “NytMedelan“.Hur är detta möjligt? mobiloperatören vet ju vem som skickar meddelandet oavsett detta sker via en mobil eller SMS-server. REtt samtal till min mobil-operatör Telenor kändes ganska nödvändigt. Jag fick prata med en ganska duktig Telenor support personal och han informerade att Telenor har sedan flera år infört stopp för att kunna skicka SMS/MMS anonymt. Tydligen det finns operatörer som struntar i detta och har ännu inte stoppat anonyma SMS/MMS:er. En enkel lösning borde bli att seriösa mobiloperatörer stoppa både sändning och mottagning SMS/MMS:er med anonyma avsändare eller mottagare. Tydligen min mobiloperatör var inte lika mycket angeläget att stoppa även mottagning av anonymt SMS/MMS. Det känns som en omgående PTS rekommendation/styrning kring anonyma SMS/MMS känns ganska nödvändig. Kanske även medverka för samma rekommendation inom Europa inom förslagsvis inom BEREC (EU organisation bestående av nationella organisationer motsvarande PTS)?

Nätskummisar-2 natskummis3 NatSkummis2-2

Ett namn är ett namn och inte bara kombination av några ASCII-tecken, behandla kunden väl

I Sverige är näst intill fult om man kallar någon för annat än deras riktiga namn så frågan är hur illa det är att ha något ASCII-tecken istället för sitt namn. Har vid flera tillfällen sett att det blir galet vid marknadsföringen. Att kalla en (potentiell) kund för någon kodkombination, i det fallet ”=?utf-8?Q??=” kan inte vara någon bra marknadsföring alls.

Felet är antagligen att det underliggande systemet som ”genererar” text, bild för marknadsföringen inte fungerar så väl och inte heller den eventuella tester som borde göras. Här är ett färskt exempel från ATEA

 

Atea
Atea_Kund

Internet companies collect your personal data when downloading information/slides/whitepares

Something fishy is going on within the bigger companies, they are looking at you as source of data. Collect as much as possible and analyze it and sell it to any potential customers, part of the Big Data and data analytics I guess.

IPv6 is another area of interest for me since decade. Currently I found an intressting  IPv6-link which leads to SlideShare.com. You have two options, either read page by page or you can download it.

SlideS1

SlideS2

So I chose to download and then you may need to “logon” to the SlideShare. One handy option is to “logon” by using Linkedin or facebook, a simple and easy method. But unfortunately I found that when you use your Linkedin logon you also give the rights to explore lots of personal data to slideshare. Why in the earth I should expose my connections informations, networks discussions, invitations, ….. to any Company.

Would you like to share this type of data to any Company?

SlideS3