Sikkerhetsselskap: – Førerkortappen mangler grunnleggende sikkerhet

Sikkerhetsselskap: – Førerkortappen mangler grunnleggende sikkerhet

Norsis: – Jeg ville bekymret meg mer for andre apper på mobilen.

Mer enn 600.000 har lastet ned den nye Førerkort-appen. Den gir deg en digital versjon av førerkortet ditt på mobilen, så du slipper å ha med deg det fysiske kortet i bilen.

Lars Lunde Birkeland i Promon sier at de enkelt kunne hente ut informasjon fra Førerkort-appen og stiller spørsmål ved sikkerheten. Foto: Promon

Blant de som har lastet den ned og prøvd Førerkort-appen er sikkerhetstesterne i selskapet Promon. De mener sikkerheten i appen er for dårlig, og hevder at andre apper med sensitiv informasjon er bedre sikret enn Vegvesenets nye app. 

– De fleste apper som inneholder sensitiv informasjon har bedre sikkerhet enn dette, hevder kommunikasjonssjef Lars Lunde Birkeland i Promon.

De har utført en såkalt penetrasjonstest, eller pen-test, der de har forsøkt å gå frem som en hacker for å få se hvilke data de kunne lure ut av appen.

Ifølge Promon kan angripere med enkle virkemidler hente informasjonen som er lagret i appen, for eksempel personnummer og førerkortklasser. Mottiltak mot virkemidlene skal være svært enkle å gjennomføre, ifølge selskapet.

Vegvesenet mener sikkerheten er god nok

Synnøve Olsen Vebostad er seksjonssjef i Statens vegvesen og blant annet ansvarlig for førerkortkontoret. Hun sier de hele tiden jobber med sikkerheten, men mener den er god nok. Foto: Statens vegvesen

Hos Førerkortkontoret erkjenner de at noen av tingene Promon peker på vurderes pusset på, men mener likevel at sikkerheten er god nok.

– Vi jobber kontinuerlig med forbedring av sikkerhet i løsningen og ser blant annet på metoder for blokkering av skjermdump, forklarer seksjonssjef i Statens Vegvesen og sjef for Førerkortkontoret, Synnøve Olsen Vebostad.

Vebostad er uenig i Birkelands karakteristikk av appen, og sier dataen er godt sikret: 

– Innholdet i applikasjonen kan ikke uten videre stjeles av ondsinnede applikasjoner, siden appen kjører i et isolert område. Når det gjelder telefoner som er kompromittert, enten ved rooting eller skadevare, vil man ikke være i stand til å beskytte mot misbruk, sier Vebostad.

Norsis: – Denne skal man bruke uten å bekymre seg

Vidar Sandland, seniorrådgiver i NorSIS.
Seniorrådgiver Vidar Sandland i Norsis mener det ikke er grunn til å bekymre seg for Førerkort-appen. Foto: NorSIS

Norsk senter for informasjonssikring jobber med datasikkerhet og uttaler seg ofte om det. Vi spurte seniorrådgiver Vidar Sandland om hvor bekymringsverdig Promons funn er.

– Jeg vil påstå at denne skal man bruke uten å bekymre seg, svarer Sandland enkelt og greit.

– Vi må huske at informasjonen i appen ikke er veldig sensitiv. Det er personnummeret først og fremst. Om du har førerkort i klasse a eller b er kanskje ikke så viktig.

Han forklarer at informasjon skal beskyttes med riktig sikkerhet, og at Statens vegvesen nok har gjort en sikkerhetsvurdering her.

– Hvis du er ute etter personnummeret til en person finnes det så mange andre måter som er mye enklere. Det er minste motstands vei. Å lage en unik app for å få førerkortinformasjon er en lang vei å gå for ting man kan få ut på andre måter og med andre kilder.

Han mener også at Førerkort-appen antakeligvis er en av de mindre årsakene til bekymring man har:

– Jeg ville vært mer bekymret for andre apper du har på mobilen som utgjør en mye større risiko enn den her, avslutter Sandland.

Mulig å lage falske Førerkortapper

Promon påpeker også at det er forholdsvis lett å laste ned Førerkort-appen og å lage sin egen versjon med ondsinnet kode innebygget.

Det anerkjenner Vebostad, men hun sier at selv ikke sikkerhetstiltak vil beskytte helt mot dette, og at de derfor alltid anbefaler at folk holder seg til de vanlige applikasjonsbutikkene som kommer med telefonene - i praksis Google Play og Apples App Store.

Seksjonssjefen forklarer videre at Vegvesenet har fått utført sin egen eksterne sikkerhetstest av appen. Etter at Tek.no tok konktakt og la frem Promons funn vil de gjennomgå sikkerheten på nytt sammen med leverandøren som har gjort testen.

Promon advarer heller ikke mot appen

Promon sier de klarte å skyte inn kode i appen mens den kjørte. Her har de lagt inn et bakgrunnsbilde som ikke var der fra før. Det viser at appen kan overtales til å kjøre kode utenfra. Foto: Promon

Til tross for advarslene om potensielt datatyveri, mener ikke Promon at det er nødvendig å avinstallere appen, eller å slutte å bruke den: 

– Brukere trenger absolutt ikke logge ut. Vegvesenet har ivaretatt flere viktige sikkerhetsaspekter. Men brukerne bør være oppmerksomme på at skadevare som eventuelt er på telefonen kan stjele sensitive data fra appen. Derfor er vi også opptatt av å opplyse om farene ved å laste ned apper utenfor de vanlige appbutikkene, sier Birkeland, som påpeker at flere av forslagene deres til sikkerhetsforbedringer er relativt enkle å gjennomføre.  

Her er svakhetene Promon mener å ha funnet i Førerkort-appen:

  • Ondsinnede apper kan lese informasjon fra appen når den er aktiv, og det er ingenting som hindrer dem fra å ta skjermdumper når førerkortet vises på skjermen.
  • Appen er ikke beskyttet mot kodeendringer mens den kjører, slik at det er mulig å få den til å kjøre kode som ikke kommer fra utviklerne selv - såkalte «injection attacks».
  • Appen sjekker ikke sikkerheten på enheten den ligger på, og kan dermed heller ikke unngå opplåste enheter der brukere og apper har større grad av frihet (Root-tilgang)
  • Det er ingen sperringer lagt inn mot endring og redistribusjon av koden. Dermed kan andre potensielt hente ned appen, bygge inn ondsinnede funksjoner og tilby den for nedlasting andre steder.
  • Tekstfeltene du logger inn med er ikke vernet mot logging utenfra.

Norges beste mobilabonnement

Sommer 2019

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Sponz 1 GB


Jeg bruker middels mye data:

GE Mobil Leve 6 GB


Jeg bruker mye data:

Chili 25 GB


Jeg er superbruker:

Chili Fri Data


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen