Rik Ferguson i Trend Micro demonstrerer hvordan han kan overvåke en bruker via en infisert mobiltelefon. (Bilde: Kurt Lekanger, Mobilen.no)

Så enkelt kan mobilen brukes til spionasje

Moderne smartmobiler kan utgjøre en kjemperisiko, forteller sikkerhetsekspert på Norges-besøk.

Moderne smartmobiler kan utgjøre en stor sikkerhetsrisiko for bedrifter ettersom de enkelt kan utnyttes av industrisponer som ønsker tilgang til fortrolig forretningsinformasjon.

Det forteller sikkerhetsekspert Rik Ferguson i Trend Micro til Mobilen.no. Vi møtte Ferguson da han var på besøk i Norge, og fikk en overbevisende demonstrasjon av hvordan en angriper med enkle grep kunne infisere en Android-mobil og deretter ha full kontroll over den fra en annen telefon.

Ved å sende usynlige SMS-kommandoer til den infiserte telefonen, kunne Ferguson skru på mikrofonen og starte avlytting av samtaler eller av hva som foregikk i rommet, eller få tilsendt kopier av SMS-er.

– En av de store fordelene med denne typen enheter, innenfor spionasje, er at det er mye mer informasjon du kan stjele. De har mange flere funksjoner enn en tradisjonell PC, som lokasjonsinformasjon. Og du kan bruke telefonen som en skjult mikrofon til avlytting, forteller Ferguson.

Ferguson demonstrerte dette ved å sende SMS-koden "MonitorNow 1" til den infiserte telefonen, for å starte mikrofonavlytting i ett minutt.

Rik Ferguson er sikkerhetsekspert i Trend Micro.
Rik Ferguson er sikkerhetsekspert i Trend Micro.Foto: Kurt Lekanger, Mobilen.no

En reell trussel

Programvaren Ferguson viste var laget av Ferguson selv til demonstrasjonsformål, men denne typen programvare finnes også i virkeligheten – og utgjør en reell trussel mot bedrifter.

– Det fantes lignende apper allerede helt tilbake i Symbian-dagene. Den store forskjellen i dag er hvordan skadelig programvare blir distribuert, og Android har endret dette. Problemet er ikke særlig stort på iOS, og iOS er i den posisjonen hvor det i dag ikke finnes noen skadelig programvare "in the wild", kun på enheter som er "jailbreaket", sier Ferguson.

Han advarer imidlertid om at det tidligere har vært mulig å jailbreake iPhone ved å bare besøke en nettside, og dermed ville det også vært mulig å installere skadelig programvare på telefonen. Og for eksempel PDF-vedlegg kan utnytte sikkerhetshull som siden kan gjøre det mulig å ta kontroll over telefonen.

Spionprogram på avveie

Ferguson forteller om den svært kontroversielle programvaren FinFisher som selskapet Gamma International selger til myndigheter rundt om i verden, som bruker programvaren i forbindelse med blant annet overvåking av kriminell aktivitet.

En ny programvare fra selskapet, kalt FinSpy, benytter teknikker kjent fra trojanere og annen skadelig programvare for å i all hemmelighet skjule seg på brukerens mobiltelefon og la utenforstående gjøre opptak via mobiltelefonens mikrofon. FinSpy kan også spore telefonens posisjon via GPS-mottakeren, samt avlytte telefonsamtaler og tekstmeldinger.

Programvaren skal kunne ta kontroll over flere ulike typer telefoner, inkludert iOS, Windows Phone, Android, Symbian og BlackBerry. Mobiltelefoner kan bli infisert med FinSpy enten ved å besøke en nettside som utnytter sikkerhetshull på mobiltelefonen, ved å laste ned en app som utgir seg for å være noe annet enn det den er, eller ved å klikke på en lenke i en SMS som ser ut til å være en lenke til en systemoppdatering.

Selv om denne programvaren er ment for bruk av for eksempel politimyndigheter, skal den ifølge Ferguson ha kommet på avveie – og det er derfor en fare for at den kan bli brukt for eksempel til industrispionasje.

Slik bør bedriftene håndtere "Bring your own device"

Problemet med skadelig programvare er mye større på Android enn på iOS, på grunn av at Apple aktivt må godkjenne alle apper før de blir tilgjengelige i App Store. Androids app-butikk Google Play er riktignok blitt bedre på sikkerhet, men siden kontrollen ikke er like god – og det er mulig å laste ned apper fra alternative app-butikker – er sikkerheten mye dårlige, mener Ferguson.

– Det er ikke fordi Android er et dårlig operativsystem, for det er det ikke. Det er på grunn av åpenheten. Og det er ingen sentral mekanisme for å få oppdateringer. Siden jeg har en Google Nexus får jeg oppdateringene fra Google, men hvis jeg hadde en annen telefon har jeg ingen garanti for at jeg får de viktige oppdateringene, sier Ferguson.

Men han understreker at selve operativsystemet Android ikke er mer usikkert enn iOS, og at det finnes omtrent like mange "sårbarheter" for iOS som for Android. Har du ikke lagt inn de siste sikkerhetsoppdateringene til iPhone er det mulig å infisere mobilen med skadelig programvare bare ved å åpne en PDF. Det er Apples lukkede system i forhold til Androids åpenhet som gjør at Android i praksis er mer utsatt enn iPhone.

– I mai var det en gruppe på 17 apper i Google Play som ble lastet ned rundt 700 000 ganger. Det vokser raskt. Ved slutten av 2012 forventer vi å se mer enn 130 000 skadelige apper, bare for Android, sier Ferguson.

Stikke hodet i sanden-policy

– Så hva bør bedrifter gjøre for å beskytte seg? Bør de forby alle Android-mobiler?

– Det er to viktige ting med Android. Android er i mindre grad designet for administrasjon i bedrifter enn BlackBerry, iOS og Windows Phone. iPhone var opprinnelig en konsumentenhet, men har nå fått bedriftsfunksjonene som gjør at den er blitt et produkt som er svært enkelt å administrere. Den har kryptering, støtte for administrasjon via Microsoft Exchange, og så videre, sier Ferguson.

Les også: – iPhone er nå like sikker som BlackBerry

– Men det er ikke det at telefonene er sårbare som er problemet for bedrifter. Det er enhetene som ikke er administrert sentralt som er problemet.

Trenden med "bring your own device" og "consumerization" betyr at det ikke lenger er bedriftene som bestemmer hvilke telefoner de ansatte skal bruke. I noen tilfeller tror bedriftene at de bestemmer, og har kanskje en policy om at det ikke er lov å bruke private mobiler. Det fører bare til at ansatte likevel vil bruke sine private enheter, men uten å fortelle noen om det.

– Dette er en "stikke hodet i sanden"-policy, sier han.

Enhetene må administreres sentralt

Ferguson anbefaler å ta i bruk løsninger som lar bedriften administrere alle typer enheter, alt fra PC-er til nettbrett og mobiltelefoner.

– Og så må du må ha en dialog med de ansatte, og si; ja du kan ta med din egen enhet, men avhengig av hvilken type jobb du har, vil det kunne være noen restriksjoner. For de som jobber med veldig sensitiv informasjon, kan du si at det må være en BlackBerry for eksempel. Folk i den typen posisjoner vil antagelig forstå argumentet, sier han.

Så kan den store majoriteten av ansatte få bruke andre typer telefoner, forutsatt at de blir administrert sentralt slik at bedriften har mulighet til å styre policyer – for eksempel ha mulighet til fjernsletting, krav om passord, og så videre.

Ferguson advarer mot skybaserte tjenester som egentlig er beregnet på privatpersoner, som for eksempel Dropbox eller Evernote. Når ansatte bruker denne typen tjenester, mister bedriften kontroll over hvor sensitiv informasjon ligger lagret. Det finnes sikre løsninger som gjør det samme, som for eksempel Trend Micros eget Dropbox-alternativ Safesync, forteller han.

Her kan du lese mer om bruk av mobile enheter i bedriften:

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen