Mobilappar – Säkerhet

SJ åtgärdar säkerhetslucka

Efter en turbulent torsdag, har SJ åtgärdat de värsta säkerhetsbristerna i sina mobilappar. Mobil Business reder ut vad som har hänt och om det kan inträffa igen.

Publicerad Senast uppdaterad

Under gårdagen blev det känt att SJ läckte information om sina mobilanvändares unika ID i klartext. Trots att ingen personlig information utanför själva apparna exponerades, gick det ändå att inte bara se, utan även radera eller ändra användarnas personliga inställningar inne i de aktuella apparna.

SJ agerade snabbt under gårdagskvällen och tätade den allvarligaste säkerhutsluckan i apparna. Enligt uppgift till Mobil Business hade SJ:s appar redan vid lunchtid igår laddats ner på 1695 enheter. Från officiellt håll på SJ medger man dock bara drygt 200 nedladdningar fram tills säkerhetsluckan tätades vid 17-tiden igår.

Den generella "request" som igår kunde skickas till SJ:s databas och ge tillgång till all bevakningsdata, kan nu altså inte längre göras. Det som åtgärdades är att användarnas unika ID (UDID) nu inte syns i "programdumpen", men informationen skickas fortfarande okrypterad. Att informationen skickas i klartext gör det fortfarande möjligt att snappa upp en användares UDID via exempelvis ett öppet WLAN-nätverk som SJ:s egna "Internet Ombord". Fram tills SL har implementerat SSL, kommer det även fortsättningsvis att vara möjligt att läsa användarnas ID, något som kommer ha allt mindre betydelse i och med att Apple kommer frångå användandet av UDID i och med övergången till Ios 5.

De tidiga användare som laddade ner SJs appar innan klockan 17 igår är fortfarande delvis exponerade. SJ tar emot förfrågningar från drabbade användare per mail, men har vid publiceringstidpunkten inte fastställt om man själva kommer kontakta de berörda inp>

Redaktionens kommentar:

Säkerhetsbristen i SJ:s nya mobilappar belyser med all önskvärd tydlighet problematiken med att öppna egen data för användande inhouse eller av tredjepartsutvecklare. SJ hade visserligen i det aktuella fallet kunnat använda mer resurser för att säkra att apparna använt sig av praxis för kryptering, men har i övrigt agerat snabbt och korrekt när felet blivit känt. Det kanske mest intressanta i sammanhanget är att den uppmärksamhet som skapas nu kan leda till att utvecklingen och den officiella dokumentationen av SJ:s API nu kommer att skyndas på. Men med tanke på hur mycket som kan bli fel, är det egentligen inte konstigt att det tar lång tid att få ut ett API.