Säkerhet och smarta lurar

Din smarta mobil - snart hackad?

Hur lätt är det för en hacker att ta över din telefon? Och finns det appar som ser ut som snälla spel, men som gör något helt annat i bakgrunden?

Publicerad:

27 dec 2010 - 15:19

Uppdaterad:

27 dec 2010 - 15:19

När Sveriges Televisions nyhetsprogram Rapport nyligen visade hur mycket en hacker kan göra genom att kapa en Iphone skakade många på huvudet. "För att råka ut för något sådant måste man ha jailbreakat sin Iphone, och installerat något skadligt program" resonerades det på Mac-bloggar och en del dagstidningar. I stället för att spekulera gick vi till källan, mannen som skapade hacket som visades upp i Rapportsändningen på tv: Joel Eriksson, teknikchef på säkerhetsföretaget Bitsec.

– Det vi visade var just hur man kunde attackera en Iphone, och den var inte jailbreakad på något vis, berättar han.

Vad det hela handlar om är helt enkelt hur smarta mobiler allt högre utsträckning riskerar att utsättas för samma typ av attacker som hackers tidigare utsatt datorer för.

Hackare har försprånget

– Det har ju funnits och finns fortfarande luckor som kan utnyttjas. Hackare har alltid ett försprång framför de som försöker täppa igen säkerhetshålen.

Den största attackytan är Enligt Joel Eriksson den smarta mobilens webbläsare, eftersom det är så många filer som ska kunna tolkas och spelas upp i webbläsaren. En person som vill attackera en mobiltelefon behöver inte ens fysiskt befinna sig i närheten, men om man som hacker är i närheten av telefonen som ska attackeras finns ju möjligheter att utnyttja exempelvis telefonens wlan-anslutning, som i det tv-inslag där en Iphone togs över och bland annat kunde skicka över ljud som spelades in med telefonens mikrofon. Att förklara hur det går till blir lätt ganska tekniskt komplicerat, och Joel vill heller inte avslöja exakt hur det aktuella hacket mot en Iphone kan utföras. Men i grunden är det så här det går till: Först letar den som vill hacka en telefon upp en säkerhetslucka i någon app i telefonen. Det behöver inte vara en "app" i vanlig mening, utan kan också vara någon viss process som telefonen kör, till exempel för hanteringen av sms och mms.

– Det kan ju till exempel finnas luckor i en tredjepartsapp, tag till exempel Facebook-appen som kraschar då och då. I loggfilerna över kraschen lagras då information som kan utnyttjas, till exempel för en minneshanteringsrelaterad lucka, säger Joel. Just i Iphonekrävs det också att denna så kallade "app-säkerhetslucka" kombineras med en säkerhetslucka som man upptäcker i själva operativsystemet.

Joel Eriksson, teknikchef på säkerhetsföretaget Bitsec.

Full kontroll över telefonen

– Ett exempel på det här är webbsajten Jailbreakme.com, som utnyttjade en säkerhetslucka i webbläsaren, som körde en kod i visningen av PDF-dokument, och kombinerade det med en operativsystemslucka. Webbsajten Jailbreakme fick då full kontroll över telefonen och kunde låsa upp de begränsningar som Apple programmerat in i systemet. Iphone har i grunden ett säkerhetssystem som gör att telefonen enbart kan köra "signerad" programkod. Det innebär i klartext att telefonen i teorin bara ska kunna köra av Apple godkända program. En hacker som försöker köra skadlig kod på en Iphone skulle då misslyckas.

– Men det där går ju att gå kringgå, säger Joel Eriksson. Eftersom man vet hur adressrymden ser ut kan man i stället återanvända existerande kodsnuttar i programmet, alltså kodsnuttar som är signerade. Då kan man i teorin göra vad som helst, även om det är ganska krångligt. Om man känner till en operativsystemslucka så kan den utnyttjas med denna metod, och därefter eliminera kontrollerna som förhindrar exekvering av kod som inte signerats av Apple. Det var just vad webbsajten Jailbreakme.com gjorde tills nyligen. Där tycks det ha varit fråga om en ganska "snäll" attack mot telefonerna, eftersom det enbart handlade om att hjälpa folk som ville få sina telefoner upplåsta. Men precis den typen av säkerhetsluckor kan lika gärna utnyttjas av någon med mer dunkla motiv, menar Joel Eriksson.

– Jailbreakme utnyttjade en säkerhetslucka i grafikhanteringen i systemet. Till skillnad från ett rent unixsystem har ju Apple bäddat in en del grafikhantering i kärnan. Detta och det faktum att man kombinerar två skilda OS-arkitekturer innebär att komplexiteten och därmed attackytan mot operativsystemet ökar, säger Joel Eriksson.

Fenomenet kommer öka

Att Apple skulle ha löst alla säkerhetsproblemen med nya versionen av Iphones operativsystem menar han inte stämmer.

– Nya IOS 4.1 täppte till just det säkerhetshålet. Men även i senaste versionen av systemet finns det en semipublik operativsystemslucka. Denna används av de senaste jailbreakverktygen för att göra jailbreakningen permanent, däremot har ingen information om luckan ifråga släppts till allmänheten ännu. Så hur stort är det här problemet egentligen? Ska vi behöva vara oroliga för att få våra telefoner hackade på stan?

– Nej, det här fenomenet kommer att öka men det är fortfarande relativt få som är duktiga nog att hitta säkerhetsluckorna. Att hackningen kommer att öka beror dels på att smarta mobiler blir allt vanligare, men också att de nyaste smartphones-systemen Iphone och Android i grunden bygger på unixbaserade operativsystem (Linux och FreeBSD), vilket innebär att hackers kan utnyttja sina vanliga programmeringsverktyg för att genomföra attacker.

– Det finns dock fortfarande inga publicerade verktyg för att utföra denna typ av attack, och allmänheten behöver inte vara särskilt orolig för det här problemet förrän det finns.

– Man bör ändå tänka på att det finns de som har möjlighet att göra de här attackerna nu, men då lär de inte rikta sig mot Svensson med sin smarta mobil, utan snarare inrikta sig mer på personer som har mer intressant känslig information.

Farliga fåglar

Android-systemet har på senare tid vuxit snabbare än Iphone, och frågan är vad som skiljer Android från Iphone när det gäller säkerheten.

– En stor skillnad är att Android inte har skydd mot att kunna köra osignerad kod. I stället baseras skyddet på vad användaren godkänner att installerade appar får göra, säger Joel Eriksson.

Men även det är något som man kan gå runt, om man är en kunnig hacker. För ett par veckor sedan skapade säkerhetsforskaren Jon Oberheide en app som han lade upp i programbutiken Android Market. Appen påstod sig bjuda användarna på extrabanor till spelet Angry Birds. Laddade man ner appen verkade den mycket riktigt innehålla detta, men vad den också innehöll var en bakdörr som lät appens utvecklare installera ytterligare program på telefonen – utan att telefonens innehavare kunde märka detta. Dessa appar kunde dessutom positionera telefonen, kopiera kontaktinformation och skicka betal-sms.

Det här kallar Joel Eriksson för "privilegieeskaleringslucka", alltså att hackern får möjlighet att utöka de privilegier som användaren från början godkände.

– Man måste hitta en privilegieeskaleringslucka för att kunna göra de riktigt roliga sakerna, till exempel komma åt all lagrad information på enheten, eller att spela in användarens telefonsamtal och skicka dessa som ljudfiler. Ett annat exempel på den här typen av app är "Visionary", som låser upp en Androidtelefon – rootar den – så att alla säkerhetsbegränsningarna i Android-telefonerna tas bort.

Osäkra spel

Även appar som i sig inte är skapade för att vara skadliga kan också utnyttjas av en illasinnad hacker.

– Ett spel kan köras lokalt på telefonen men också göra en uppdatering mot en server och då kan en hacker till exempel göra en man-in-the-middle-attack, säger Joel Eriksson. Trots alla exempel på hur klen säkerheten är finns i grunden inget skäl att oroa sig särskilt mycket, enligt Joel Eriksson. Åtminstone inte för oss vanliga användare.

– Jag tycker att en vanlig användare kan vara relativt lugn så länge man håller sig till enkla principer som att hålla sin telefon uppdaterad och tänka på vad man installerar eftersom varje app kan vara en attackyta. Man bör också tänka på var man surfar med mobilen, eftersom attackytan mot webbläsaren är så stor.

– Man ska inte heller jailbreaka sin Iphone om man inte behöver det, för det skydd som Apple lagt in ger ett extra säkerhetslager. När det gäller de som har särskilt skyddsvärd information menar Joel bör agera med lite större omsorg.

– De ska tänka på vad de lagrar i telefonen, och vara medvetna om risker, så att man till exempel inte har med sig telefonen in i ett mötesrum om det är något känsligt som diskuteras. Att köpa särskilda säkerhetsapplikationer för att skydda sin mobil är dock inget som Joel Eriksson tror hjälper.

– Särskilda säkerhetsapplikationer är inget att förlita sig på. För den som vill brukar det inte vara nåt problem att komma runt det som den typen av applikationer gör. Det ligger i sakens natur, hackern är alltid steget före. Skyddsteamen som utformar säkerhetslösningar kan bara försöka skydda sig mot sådant som de redan känner till existerar. Hackaren har tyvärr ett stort försprång.

– Däremot kan program som krypterar information på mobilen kan också ge ett visst skydd om telefonen tappas bort eller blir stulen.

Operativsystem

 

Aktuellt just nu

  • Tips och tricks

    Offlinekartor i Apple Maps, låna böcker i mobilen, hur du fixar biljetterna till Passbook och lite batterispartips är vad vi har att lära dig som Ios-användare idag.

    11 jul 2014 - 11:46
  • Tips & tricks

    Eftersom Apple själva har kontrollen över telefoner och datorer och då både programmen och hårdvaran har de stora möjligheter att få prylarna att fungera bra ihop. Säger de själva i alla fall. Vi kollar in vad din Iphone och din Mac kan göra tillsammans.

    9 jul 2014 - 11:00
  • 20 Tips och tricks

    Ios 7 innebär en hel del nytt på många olika plan. Med en helt ny design kommer också en del skojiga funktioner som kanske inte är helt uppenbara från start. Här lär vi dig hemligheterna.

    6 dec 2013 - 15:21
  • Vi visar hur du gör

    Vi har redan gått igenom några verktyg för att skapa appar. Idag visar vi hur du går tillväga med hjälp av verktyget Appmachine.

    10 sep 2013 - 06:00
  • Bygg en app enkelt

    Appbyggarverktyg, det vill säga plattformar som låter både privatpersoner och företag ta fram och publicera mobila appar billigt utan att skriva en enda rad kod, blir alltmer populära. Deras löfte: att vara för apputveckling vad Wordpress varit för webben – något som demokratiserar publicering. Mobil har tittat närmare på fyra sådana plattformar: Appmachine, Appspotr, Conduit, och Appy Pie.

    9 sep 2013 - 06:00
  • Innanför skalet på prestandalurarna

    Avancerade system med processorer optimerade för olika uppgifter – allt på ett enda kiselchip. Mobil kartlägger tekniken och företagen som ger kraft åt prestandamobilerna.

    2 aug 2013 - 19:17
  • Problemlösning för Ios

    Ta del av redaktionens smarta tips och kom runt problem med både Ipad och Iphone. Kanske hittar du någon ny funktion du inte visste om.

    30 jul 2013 - 18:02
  • Kom igång med din lur

    Har du precis köpt och aktiverat din Iphone? Här är den ultimata guiden till hur du lär dig grunderna och alla smarta tips som gör ditt liv med din Iphone smidigare och roligare.

    29 jul 2013 - 17:23
  • Lär känna din Windows Phone

    Microsofts operativsystem ser annorlunda ut än de flesta andra telefoner, men det bety- der inte att det är särskilt svårt att lära sig eller att använda. Vi hjälper dig igång och går igenom grunderna i alla de viktigaste funktionerna.

    15 jul 2013 - 10:28
  • Med Facebook inbakad

    När Apple integrerade Twitter i Ios 5 var det många som undrade varför Facebook inte fick vara med. I och med lanseringen av Ios 6 har Apple lyssnat till önskemålen och bakat in Facebook i systemet (som i skrivande stund är uppe i version 6.1.2). Vi går igenom vad det innebär för dig som användare och hur du får ut det mesta av symbiosen.

    2 apr 2013 - 11:22
  • Mobilskolan:

    När du fyller din telefon med både bilder och film är Apples teknik för att visa det på större skärm smart. Vi visar hur du får tekniken att fungera med din Androidenhet.

    5 mar 2013 - 14:52
  • Tips och tricks till Ios:

    Vi hjälper dig att få till det så att alla dina kontakter synkas automatiskt mellan Iphone, surfplatta och dator.

    23 jan 2013 - 11:44
  • Guide för Iphone

    Så får du kontroll över vad som syns för e-postadress eller telefonnummer som syns hos mottagaren Imessage.

    6 jan 2013 - 08:00
  • Få tillgång till dina filer överallt

    Med Skydrive kan du lagra och komma åt dina viktigaste filer överallt i världen. Det enda du behöver är uppkoppling till internet.

    2 jan 2013 - 16:52
  • Skola: Flash i Android

    Html 5 tycks vara på god väg att vinna kriget mot Adobes flash för multimediainnehåll på nätet. I slutet av sommaren försvann möjlig­heten att tanka hem flash-pluginen från Google Play för Android, men än så länge är flash för tidigt att räkna ut helt – vi visar hur du får in flash i din Android idag.

    30 nov 2012 - 16:07
  • Skola: Airdroid och Reach Beta

    Två simpla appar låter dig såväl skicka sms och se inkommande samtal i mobilen, som kolla på mobilbilder och massor av annat direkt via datorns webbläsare. Här går vi igenom hur du sköter din telefon från datorn.

    22 nov 2012 - 07:30
  • Lösensordsappar till Ios

    Facebook-kontot, Blocket, idrottsklubben och mataffären. Koder och lösenord behövs till nästan allt i dator och mobil. Men det finns appar som gör att du slipper hålla allt i ­huvudet. Det är de apparna som vi har testat här och visar hur de fungerar.

    4 sep 2012 - 07:30
  • Semesterappar

    Din mobiltelefon kan vara både din bästa och din sämsta vän under resan. Vi hjälper dig att avväpna den så att du inte åker på en ekonomisk smäll, och förklarar samtidigt hur du gör den till en ultimat reseguide.

    11 jun 2012 - 14:48
  • Så funkar GPS/Glonass

    På bara några år har positionsbestämning med hög precision blivit vardagsmat i våra ­mobiler. Men fortfarande fungerar det inte överallt. Vi tar en titt på tekniken som håller koll på var du befinner dig.

    23 maj 2012 - 07:54
  • Skola: Mobilen som bildskärm

    Vill man ha mer skärmutrymme att arbeta med på sin dator så behöver man inte lägga slantar på att köpa en ny skärm. Har man en surfplatta går det nämligen att använda den som en extra skärm till datorn.

    7 maj 2012 - 11:18
  • Håll kontakten med Windows Phone

    Vad vore livet utan vänner? Rätt så jäkla tråkigt. Därför har Mobil sammanställt en praktisk liten guide med de bästa sociala nätverksapparna till Windows Phone.

    13 apr 2012 - 08:00
  • Windows Phone

    Nu följer vi upp Kom i form med mobilen-artikeln genom att tipsa om några av de bästa apparna för Windows Phone inom området träning och hälsa.

    12 apr 2012 - 07:52

Missa inte

Hetaste apparna

Senaste nytt på mobil.se

Tipsa Mobil

Vi vill ha en kontinuerlig dialog med dig som besöker mobil.se.

Skicka gärna ett mail om du har ett hett tips eller nåt spännande att berätta.

Mobils nyhetsbrev

Vårt dagliga nyhetsbrev håller dig uppdaterad om vad som händer i mobilbranschen.

Registrera dig här!

Om Mobil

Mobil är Sveriges ledande tidning och sajt inom området mobil kommunikation. 

Tidningen och sajten riktar sig till dig som skall köpa nya mobila prylar eller tjänster och dig som vill hålla koll på vad som händer i den mobila världen eller som jobbar inom mobilbranschen.

Mer om Mobil här.

Vi är Mobil

Kontakta Mobils redaktion.

Du hittar vår kontaktinformation här.