Mobilen din lekker som en sil
Tilsynelatende uskyldige apper sender kontakter, SMS-er og tastetrykk ut på nettet.
Ingen mobiltelefoner er sikre nok til at bedriftene bør la ansatte få tilgang til sensitiv informasjon på dem. Det mener sikkerhetsekspert Christian Sandberg i Check Point.
Les også: Ni tips som sikrer mobilen
Sandberg mener det er et stort problem at bedriftene i stadig større grad tar i bruk løsninger som egentlig er ment for privatbrukere.
– Det finnes løsninger for å gjøre det sikrere, men den hardwaren som er laget for private brukere, og er så låst som den er – spesielt Apple sine løsninger – der vil du nesten aldri kunne gjøre det sikkert nok, sier Sandberg.
Problemet med Apples iPhone og iPad er ifølge Sandberg at tredjepart ikke har mulighet til å legge inn programvare som beskytter mobilen godt nok. Android har andre sikkerhetsutfordringer igjen, fordi det er større risiko for at mobilen blir infisert med ondsinnet programvare. Har du kryptering på en Android-telefon, er det ikke sikkert krypteringen har noen effekt hvis mobilen er infisert.
Men selv om Android har fått et rykte på seg for å være usikkert, skjer det positive ting. I Android 4.0 har Google ifølge Sandberg gjort det mye enklere for sikkerhetsprodusentene å lage sikkerhetsprogramvare for mobiltelefonene enn det har vært til nå.
Et sikkerhetsmessig mareritt
Hvorvidt mobiltelefonene er et sikkerhetsproblem eller ikke i bedriften, avhenger av både hva du bruker telefonen til, hva som lagres på den og hvilke retningslinjer og rutiner bedriften har. Men gjøres det ikke riktig, kan mobiltelefoner og nettbrett være et sikkerhetsmessig mareritt, advarer Sandberg.
– For en statsråd, eller et departement, er det helt andre utfordringer enn det det vil være for en nettbutikk, sier Sandberg. Han går så langt som å påstå at brukere som håndterer såpass sensitiv informasjon faktisk ikke bør ha tilgang til e-posten på mobilen i det hele tatt.
Den eneste måten å gjøre dette noenlunde sikkert er ifølge Sandberg å gå helt bort fra å lagre dataene på enhetene, og i stedet kun vise skjermbilder. Da sikter Sandberg til virtualiseringsteknologi som for eksempel Citrix' løsninger, hvor kun skjermbildene overføres til telefonen. Men selv dét er ikke 100 % sikkert, hvis du har fått ondsinnet programvare på telefonen som kan overvåke tastetrykk og overføre skjermbilder.
– Du har den samme utfordringen med mobilen som du har med PC-en din. Og siden mobilene er såpass nye, så finnes det så få løsninger som dekker de samme utfordringene som du har på PC-en din. Derfor vil du ikke få det like sikkert i dag, sier Sandberg.
Vi har tidligere skrevet om løsninger som i løpet av sekunder knekker passordene som mange bruker for å låse telefonen når den ikke er i bruk. Sandberg mener denne typen løsninger vitner om hvor usikre mobiltelefonene er.
Mobilen lekker som en sil
Ett av de største sikkerhetsproblemene på mobile enheter, er at apper du har installert kan sende informasjon ut på nettet uten at du er klar over det. Det behøver ikke nødvendigvis være snakk om "ondsinnet programvare" (malware), men mer eller mindre nyttige programmer som overfører for eksempel kontaktregisteret ditt, tastetrykk eller innholdet i e-posten din. Dette kan overføres i klartekst over nettet så det kan snappes opp av uvedkommende, eller lagres i en nettskytjeneste som du ikke har kontroll over.
Check Point har utstyr som kan analysere hva som overføres i nettverket, og ifølge Sandberg er det ikke rent lite som blir overført i bakgrunnen uten at du er klar over det.
– Jeg skal love deg at det er ganske mye som sendes opp, både fra alle disse såkalte gratis VoIP-tjenesten og tjenestene som driver med stemmegjenkjenning og slike ting. Du vil ikke tro hva disse applikasjonene sender ut, advarer Sandberg.
Han nevner blant annet den populære appen Viber, som lar deg ringe gratis mellom mobiltelefoner via internett. Når du installerer appen står det til og med i betingelsene at hele kontaktlisten blir lastet opp til Vibers servere. Og selv om produsenten bak Viber antagelig ikke har noen skumle hensikter, er det langt fra sikkert at bedriften du jobber i er interessert i at hele kundedatabasen blir lagret på servere et helt annet sted i verden. Det er ikke en gang sikkert dette er lovlig i henhold til norsk personvernlovgivning.
Advarer mot tastaturappene
Mange Android-brukere installerer mer avanserte skjermtastaturer på mobilen sin, noe Sandberg advarer mot. For en privatperson er det kanskje ikke et problem, men enkelte av tastaturappene gjør ting bedrifter som er opptatt av sikkerhet bør styre unna.
Noen av tastaturappene går for eksempel gjennom alle SMS-meldingene og kontaktene dine for å kunne gi bedre ordforslag når du skriver. I mange tilfeller overføres informasjonen ut på nettet, hvor du ikke lenger vet hva som skjer med informasjonen.
– Du gir jo appene tilgang når du installerer dem. Men noen apper ligger også forhåndsinstallert på telefonen når du får den, og dermed har du ikke kontrollen selv, forteller Sandberg.
Trojanere – det vil si apper som utgir seg for å være noe annet enn de er – er også et problem. Flere av Check Points kunder har ifølge Sandberg opplevd trojanere som har overført informasjon fra de ansattes mobiltelefoner, uten at de har vært klar over det.
Tre gode råd til bedriftene
Sandberg har imidlertid noen gode råd til bedrifter som nå tror de må gå over til fasttelefon igjen.
Hans viktigste råd er at bedriften definerer en sikkerhetspolicy som er mulig å få brukerne til å overholde. Hvem skal kunne koble seg til bedriftens nettverk, hva skal ulike typer enheter og brukere ha tilgang til, og hvilke data er det trygt å lagre lokalt på smarttelefonen?
Det er også viktig å utdanne brukerne, slik at alle vet hva de har lov til å gjøre. I tillegg finnes det løsninger for å administrere mobile enheter, for eksempel for å sikre at alle mobile enheter er utstyrt med passord, og følger de policyene bedriften har satt.
Les også: Disse appene beskytter mobilen din og Mobilkoden knekkes på sekunder
