Smartmobiler – er bedrifter klare for utfordringen?

Både privat og offentlig sektor innser i stadig større grad at informasjonssikkerhet er helt nødvendig for å sikre konkurranseevnen, hindre industrispionasje og oppfylle lovkrav til sikring av sensitiv informasjon. Samtidig  slurver bedrifter regelrett med sikring av de ansattes smarte mobiltelefoner. Telefonene er ikke gjemt bak brannmurer, de passes ikke på av bedriftens sikkerhetsteknologi: de mangler passordbeskyttelse, har ikke antivirus, innhold krypteres ikke og det er redusert mulighet til å fjernlåse og slette innhold. Enda verre er det at ansatte fritt kan installere en hvilken som helst app, fra hvilken som helst leverandør med hvilke som helst motiver. Vet du hva appene dine kan gjøre?

På jobbtelefoner har man ofte mulighet for nedlasting av bedriftsrelaterte e-post, kalenderdata og kontaktdata. Forutsetningen for dette er at man oppretter en konto på telefonen som kommuniserer inn mot bedriftssystemene. Oftest er det brukernavn og passord som lagres på telefonen og kontrollerer tilgangen inn. I dag vet vi ikke hvilke apps som har adgang til disse dataene. Ondsinnede kan lett gjøre et dypdykk inn i forretningshemmeligheter via ansattes smarttelefon. De siste ukers medieoppslag har vist oss at selv velkjente selskaper som Facebook og Twitter ikke alltid har rent mel i posen. Hva er da sannsynligheten for at betydelig mindre profilerte bedrifter har det? En app med full internettilgang og tilgang til å lese SMS vil med letthet kunne kopiere alle meldinger på telefonen til et datalager et sted på internett. Facebook har vist oss at nettopp det er praktisk mulig. Det var sikkert noen avisredaksjoner som kunne ønsket seg slik funksjonalitet da det stormet som verst rundt Audun Lysbakken.

Kanskje enda verre er det at SMS i økende grad brukes til å distribuere engangskoder for å logge inn på bedriftssystemer (i privat sammenheng ser man dette også brukt mot internettbanker, slik som Skandiabanken). Hele hensikten med dette er at man ønsker å øke sikkerheten ved at man både må kjenne et passord og å være i besittelse av den tilhørende telefonen for å få tilgang til systemene. Når apps kan lese og videresende SMS, så behøver ikke en angriper å være i besittelse av telefonen, og dermed er hele investeringen i engangskodesystemet verdiløs. Tilbake er det kun passordet som står igjen som barrieren inn på bedriftsnettene. Men vent litt, passordet ligger jo lagret på den samme telefonen. Trenger vi si mer?

Av ren nysgjerrighet gikk vi gjennom noen apper som ligger tilgjengelig for nedlasting. En tilfeldig valgt lommelykt-app krever full internettilgang og mulighet til å ta opp lyd, video og bilde. Dette er kanskje akseptable krav hvis man vil at appen skal kunne lyse som en diskokule i takt med musikk,  men kravene passer også for en app for fjernstyrt romovervåkning. Bedrifter trenger ikke lenger være redd for skjulte mikrofoner plantet på de utroligste steder på møterom. Alle møtedeltakere har jo en mobiltelefon med lydopptaker, og de fleste har helt sikkert også noen programmer som har tilgang til å bruke funksjonen, slik som lommelykt-appen – eller var det virkelig bare en diskolysende lommelykt?

Problemet med dagens smarttelefoner gir noen ubehagelige flashbacks til internettets spede barndom. Da ble ikke virus og ormer betraktet som noe problem så lenge man fulgte litt med og lot være å oppsøke obskøne nettsider eller åpne mistenkelige epostvedlegg. Det er skremmende likt dagens anbefaling om å sjekke at de rettighetene en applikasjon ber om er rimelige i forhold til funksjonaliteten. De fleste har etterhvert innsett at sunn fornuft og sikkerhetsbevissthet er viktig, men ikke nok til å beskytte mot internettets mange farer. Mon tro hvor lang tid det tar før vi tenker det samme om smarttelefoner?

For kun få år siden snakket sikkerhetstjenesten om muligheten for å bruke mobiltelefoner til romavlytting. Den gang krevdes det imidlertid inngående ekspertise for å infisere mobiltelefoner til dette formålet. I dag kan middelmådige programmerere lage avlyttingsfunksjonalitet og programmer som snoker i SMS, i bildebiblioteker og brukerkontoer lagret på smartmobilene. Det er bare å distribuere disse forkledd som nytteprogram, og vips..  Tør vi tenke på hva statsmakter og pengesterk, lyssky industri kan få til? Industrispionasje har aldri vært enklere.

 

Dette er originalversjonen av et innlegg vi skrev i Dagens Næringsliv 16. mars 2012, under tittelen «Med spionen i lommen»

Illustrasjonsfoto ved Flickr-bruker Jim TrottierCreative Commons Licence With Attibution

  • Takk for fint innlegg. Ellers har jeg nå inntrykk av at det foregår utvikling av sikre løsninger for mobiltelefoner, blant annet gjennom «wrapping» av applikasjoner, som gjør at privat og jobbrelatert informasjon kan strengt atskilt, har dere sett noe på det?

    • Åsmund Ahlmann Nyre

      Ja vi er klar over at det finnes initiativer, men det er ikke noe vi har sett nøye på.

      På android for eksempel kan du jo lage din egen e-post og kalender applikasjon som ikke kan dele informasjon med andre applikasjoner. Da er du jo relativt trygg på at passord og slikt ikke kommer på avveier. Men når det gjelder sms, telefon, kamera, lydopptak og andre innebygde tjenester så er det Android som styrer, og da kan applikasjoner få tilgang så lenge de ber om den først. Og det er vel her problemet ligger. At bedrifter burde kunne sette policies for telefonen som hindrer en lommelykt app å få tilgang til lydopptaker. Kanskje skulle det bare være godkjente apper som fikk tilgang til den type funksjonalitet?

      Vi har tidligere sett på muligheten for en mellomvare på Android for å blant annet kunne justere granulariteten til GSP lokasjonen som gis til App’er (se http://infosec.sintef.no/2011/11/ikke-la-lommelykt-appen-fa-tilgang-til-telefonlisten-din/) . Men det fordrer selvsagt at app’ene bruker mellomvaren og ikke Android direkte. Det finnes også Android-modifikasjoner som gjør dette, men jeg antar at veien er lang for at bedrifter skal installere modifiserte versjoner av Android på sine telefoner…