Flere afsløringer: NSA har adgang til alle smartphones

Den amerikanske efterretningstjeneste kan bryde sikkerheden i både Blackberry, iPhone og Android og få adgang til data på telefonen. Det viser nye afsløringer fra Edward Snowdens læk.

Vil NSA gerne vide, hvor en telefon befinder sig, eller læse med i sms-trafikken, der det muligt for den amerikanske efterretningstjeneste. Uanset om telefonen er fra Apple, bruger Android eller er fra Blackberry, der ellers var kendt for meget høj datasikkerhed.

Det skriver den tyske avis Spiegel ud fra tophemmelige interne dokumenter, som Edward Snowden har lækket.

Historien fortæller ikke præcist, hvordan NSA får adgang til telefonerne, men det kræver tilsyneladende noget arbejde og bruges derfor kun målrettet mod særligt interessante personer. For eksempel er der i dokumenterne beskrevet, hvordan en iPhone bliver aflyttet ved først at hacke den computer, der bliver brugt til synkronisering, og derefter placere scripts på telefonen, der giver adgang til at lytte med på data fra 38 forskellige funktioner i telefonen.

Den største overraskelse er nok, at Blackberry-brugere på ingen måde er sikre mod NSA’s aflytning. E-mail-håndteringen i Blackberry-miljøet skulle ifølge producenten være ubrydeligt, men altså ikke for NSA, som både kan læse e-mails og sms’er fra Blackberry-telefoner.

Dog var der en periode i 2009-2010, hvor NSA ikke kunne læse med, fordi Blackberry ændrede komprimeringsteknologi, men i marts 2010 kunne NSA’s britiske kolleger i GCHQ melde, at man igen havde fået adgang.

Ifølge Spiegel viser de lækkede dokumenter, at producenterne af de tre store mobile platforme ikke var involveret, men at NSA fik banet sig vej til fortrolige informationer på telefonerne, uden at producenterne var klar over det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
s_ mejlhede

Ja og ?, det har facebook, google og alle andre app også.

Hvis man går ind under installation af app, og ser hvad de forskellige programmer kræver adgang til så bliver man lettere forundret, over hvad de skal bruge alt den adgang til.
Man kan feks. ikke opdatere sin facebook profil, på sin mobil med facebook app, uden at give den adgang til ens position og GPS. Så nu bruger jeg den ikke til det.
Men det var her jeg blev nysgerrig, over hvad de forskellige app have adgang til, og noget forskrækket over hvor meget, og hvor lidt kontrol du har over det.
Mange af adgangs kravene har sikkert gode grunde til adgang, DMI har f.eks.
KUN 4 tilladelser, mens facebook vil have adgang til 15 ting, og som jeg kan se det, også kan give sig selv adgang til mere hvis det er brug for det.

Det jeg savner, er at kunne forhindre enkelte programmer i at få adgang til noget i min telefon, hvis de f.eks. gerne VIL have adgang til min kontakter/telefon nummer kan de få de første 10 i den offentlige telefonbog, og facebook kunne få min hjemmeadresse. Har en S3 fra Samsung, og deres egne programmer er på godt godt dansk noget lort, hvor de prøver at sælge dig deres service og SKOD programmer, istedet for at give dig en god oplevelse.

Så er begyndt at overveje om root er besværet hver, så kan du spærre/slukke ALLE programmer som du ikke gider. ELLER HJÆLP er der nogen der ved hvordan man forhindre mail service i at køre selv om man ikke har mail konti på sin telefon, du kan dræbe den men den starter igen. Se det er nok her, NSA bagdør ligger begravet.

  • 0
  • 0
Jens-Peter Vraa Jensen

iPhone: At placere scripts via en computer på telefonen kræver da heldigvis mere end bare et "vi kan aflytte remote uden videre". Der skal være en computer med iTunes forbindet til enheden, man skal finde den, inficere den og (antagelse) via et root exploit i iOS installere scripts/programmer uden om App Storen.

Android: Ingen oplysninger overhovedet.

BlackBerry: Informationerne gælder de "gamle" BlackBerry enheder, da BB10 ikke var på markedet dengang. De bliver stadig betragtet som meget sikre.

Det fremgår på ingen måde hvorledes der bliver skabt adgang til data.

  • Installeres der noget på enheden som sender kopi af data til NSA (spyware)?
  • Kan data dekrypteres in-transit?
  • Skal de fysisk have fat i enheden og tappe den (memory dump/decryption)?
  • Er det BIS eller BES data? BIS (BlackBerry Internet Service) har aldrig været lanceret som en sikker service.

Mit bedste bud er, at det igen er BIS trafik som sendes i en proprietær protokol (SRP) hvor. Email trafik sendes ukrypteret. BBM (BlackBerry Messender) "scrambler" indholdet med 3DES kryptering, men nøglen er global og bruges af alle enheder, så ingen sikkerhed her, hvilket er helt officielt.

SMS afsendes på samme måde som alle andre GSM telefoner, så enten er det en generel "vi kan aflytte og logge" adgang (in-transit), eller også er det spyware eller memory dump/decryption som bruges af en række enheder inden for sikkerhed mv.

  • 0
  • 0
Jens-Peter Vraa Jensen

Sorry - slutningen røg for hurtigt ud.

Mit bedste bud er, at det igen er BIS trafik som sendes i en proprietær protokol (SRP) hvor eks. email og BBM (BlackBerry Messender) er payloaden. Email payload sendes ukrypteret. BBM payload er "scrambled" med 3DES kryptering, men nøglen er global og bruges af alle enheder, så ingen sikkerhed her, hvilket er helt officielt.

SMS afsendes på samme måde som alle andre GSM telefoner, så enten er det en generel "vi kan aflytte og logge" adgang (in-transit), eller også er det spyware eller memory dump/decryption som bruges af en række enheder inden for sikkerhed mv.

Vi har set en lille flig af hvad efterretningstjenesten kan. Offentligheden får aldrig det fulde indblik i hvor langt de kan gå, og det er nok også det bedste, da det er en af de fordele de har i forhold til "the bad guys". Så længe det ikke bliver misbrugt til eks. spionage er det fint med mig, men det ved vi heller ikke..

  • 0
  • 0
Jesper Lund

I tråden er der diskussion af om den ene Android version er mere sikker end den anden. Der er givetvis forskelle, men det relevante spørgsmål efter min mening er om der er nogen Android version som vi kan have tillid til? Eller IOS, Windows Phone, Blackberry, etc etc version.

Selv hvis nogen lavede en fungerende smartphone baseret 100% på fri software, som vi selv kunne compile. er det ikke givet at denne software vil kunne isoleres tilstrækkeligt effektivt fra den proprietære GSM/3G/4G standard, som NSA givetvis også har kompromitteret.

Den bedste stragegi er nok at betragte en smartphone og enhver mobiltelefon som komprmitteret af NSA og andre bad guys, og holde alle fortrolige data langt væk fra telefonen.

Tanken om at tablets og smartphones kan erstatte computere må være død for dem som ønsker sikker kommunikation. Selvfølgelig er det ikke givet at man kan beskytte sin computer med Linux eller FreeBSD mod NSA, men odds er bedre end på en smartphone platform hvor man fra starten er bagud på point.

  • 2
  • 2
Henrik Kramshøj Blogger

Den største overraskelse er nok, at Blackberry-brugere på ingen måde er sikre mod NSA’s aflytning.

hmm, det er ellers rapporteret mange steder at eksempelvis den indiske regering også ville lytte med på Blackberry og fik lov til det.
Se eksempelvis http://www.wired.co.uk/news/archive/2013-07/11/blackberry-india

Mon ikke der er andre tilsvarende request fra andre lande.

  • 0
  • 0
Lenny Andersen

Jeg venter stadig på "Den utimative afsløring", hvor det viser sig at NSA har ca lige så mange muligheder som Agenterne i the Matrix.

Personligt kunne jeg forestille mig noget med hemmelige bagdøre i f.eks. netværksenheder fra Cisco, som jo er et amerikansk firma.
Hvor ufattelige mængder af information er der ikke adgang til, hvis de kunne tilgå en hver cisco enhed på verdensplan. Dette kombineret med rygterne om bagdøre i diverse krypterings systemer, gør at man føler sig ekstra nøgen og magtesløs når man tænker disse tanker.

Jeg ved godt at jeg lyder lidt som de der tinfoil hat tosser, man normalt griner lidt af, men hey... det kan være er det her er et af de tilfælde hvor virkeligheden overgår fantasien.

  • 0
  • 0
Tobias Belling Christensen

Ja og ?, det har facebook, google og alle andre app også.

Hvis man går ind under installation af app, og ser hvad de forskellige programmer kræver adgang til så bliver man lettere forundret, over hvad de skal bruge alt den adgang til.
Man kan feks. ikke opdatere sin facebook profil, på sin mobil med facebook app, uden at give den adgang til ens position og GPS. Så nu bruger jeg den ikke til det.
Men det var her jeg blev nysgerrig, over hvad de forskellige app have adgang til, og noget forskrækket over hvor meget, og hvor lidt kontrol du har over det.
Mange af adgangs kravene har sikkert gode grunde til adgang, DMI har f.eks.
KUN 4 tilladelser, mens facebook vil have adgang til 15 ting, og som jeg kan se det, også kan give sig selv adgang til mere hvis det er brug for det.

Det jeg savner, er at kunne forhindre enkelte programmer i at få adgang til noget i min telefon, hvis de f.eks. gerne VIL have adgang til min kontakter/telefon nummer kan de få de første 10 i den offentlige telefonbog, og facebook kunne få min hjemmeadresse. Har en S3 fra Samsung, og deres egne programmer er på godt godt dansk noget lort, hvor de prøver at sælge dig deres service og SKOD programmer, istedet for at give dig en god oplevelse.

Så er begyndt at overveje om root er besværet hver, så kan du spærre/slukke ALLE programmer som du ikke gider. ELLER HJÆLP er der nogen der ved hvordan man forhindre mail service i at køre selv om man ikke har mail konti på sin telefon, du kan dræbe den men den starter igen. Se det er nok her, NSA bagdør ligger begravet.

Du er vel klar over, at det ikke nødvendigvis er det der er beskrevet, som de rent faktisk bruger. Der er også chance for, at noget går tabt under oversættelsen til dansk etc. Ofte tror jeg det er en afart af det, som der rent faktisk står, som de benytter.

Det ændre dog ikke ved det faktum, at hvis der gives adgang til det der beskrives, og der ikke går noget tabt i oversættelsen, at det får folk til at blive mere usikre. Det bedste er dog ikke at benytte apps, som man ikke mener er stuerene.

  • 0
  • 0
Keld Asmussen

..at I ikke vil spioneres på?
Jeg har ingen hemmeligheder overfor hverken kommune elle stat, så hvis nogen af dem vil lytte med er de velkommen, jeg tror bare de hurtigt vil falde i søvn over de kedelige samtaler, Amerikanerne kan da endnu mindre bruge mine samtaler til noget, og jeg er vist heller ikke i PET´s søgelys, så kom bar´do.

  • 0
  • 6
Einar Petersen

Inviterer du også folk ind i dit soveværelse så de kan følge med i dine natlige udfoldelser... eller har du lyst til at offentliggøre præcis hvad du tjener, hvad du betaler i skat og alle andre detaljer som de fleste egentlig gerne vil have for sig selv for at undgå nysgerrige blikke, nasserøve, tyveknægte og andet pak som kan få glæde af at dyrke den slags informationer.

Fordi at lige så snart "nogen" har adgang så vil andre også kunne få det. Det at en regering har nøglerne er sikkerhed for nul og niks - der er set gentagne hændelser hvor folk i diverse offentlige stillinger har mistet kontrollen personers data med potentielle katastrofale følger for disse personer.

Jeg synes din indstilling er dybt naiv det synes som er du lullet i søvn af en forestilling om at Demokratiet du lever i er uforandreligt og alt er statisk.

Med al den registrering der er af dig og dine nærmeste vil det være en smal sag for folk med skumle intentioner at få kontrol over dig og dit liv og måske tvinge dig ud i noget du absolut ikke havde lyst til.

Det er måske rigtigt at du for regeringer mm. er dybt uinteresant og at de falder i søvn over dig men tro mig, der er typer derude som vil gøre nærmest hvadsomhelst imod hvemsomhelst og blot den mindste åbning du tilbyder sådanne typer med din holdning til privatliv mm. vil blive udnyttet. Måske ikke mod dig men mod nogen du holder af og det behøver ikke engang være dig selv der tilbyder dem denne åbning skal du huske på.

Jeg har som privatperson oplevet gentagne gange at være mål for angreb af digital art som har kostet mig månedsvis af oprydningsarbejde og nærmest ødelagt for mig ekstremt dyrebare projekter - så undskyld mit franske men "merde" som jeg kan blive sur når jeg møder så stor en ligegyldighed vedr privatliv og sikkerhed som den jeg møder hos dig. Jeg håber på og krydser fingre for at du aldrig vil opleve noget sådant, og det samme gør jeg for resten af internettets "beboere"

Jeg finder din holdning dybt nedladende overfor dine medmenesker og hvis du ikke har noget mere konstruktivt at tilbringe debatten burde du måske tie, for mange af dem der kommenterer har rent faktisk forstået hvor vigtig kontrollen med og af deres digitale data er og skal tages yderst alvorligt...

Ked af at komme med et "personligt" indlæg men jeg er træt af at høre på dit headline argument....

  • 4
  • 0
Keld Asmussen

Du er da mega paranoid, jeg er da komplet ligeglad med hvad du mener om mit "headline argument".
Jeg er da ikke nedladende fordi jeg ikke har noget at skjule, I andre kan da gøre hvad I vil, det gør jeg i forvejen og ændrer ikke på noget, jeg pleaser ingen og følger ikke den paranoide lemmingeeffekt som du plæderer for.
Jeg taler ikke om at alt lækkes via min telefon eller internet, der lægger du nemlig ord i munden på mig, hvilket ikke er særlig pænt, men det skyldes nok din ufølsomme måde at tiltale andre på jvf. dit personlige angreb.
Når jeg er ligeglad med hvad folk kan få ud af data om mig, så er det via sms, telefonkontakt og mail, her fortæller jeg jo ikke om alt det som du argumenterer imod, jeg kan godt tyde hvad der sker med folk som altid kigger sig over skulderen, jeg læser bare dine linier og frygter at blive som dig, derfor er jeg afslappet påpasselig modsat dig som konstant er på vagt, derfor udviklede du paranoia og kan ikke købe låse og sikkerhed nok, jeg håber ikke at du skader andre med din måde at være på.

  • 0
  • 4
Finn Christensen

Vi er kommet dertil hvor eneste rimelige kritik af "tinfoil hat tosserne" er at de ikke har været paranoide nok.

Enig Jesper, hvis 'de synske' gad at forstå hvad, hvorfor samt hvilke muligheder, der er mest modne, så ville mange af dem forstå at sikker, skjult og usynlig kommunikation passer meget dårligt med digitale signaler og udstyr. Men de går alt for meget op i kopiering af utallige vandrehistorier og skrøner, og bliver derfor blinde.

En hemmelighed forbliver i dit hoved, for hvis den slipper ud er den allemandseje.

  • 0
  • 0
Einar Petersen

Jamen tak Hr. doktor - Utroligt så god du er til fjern diagnoser... ja og ufatteligt indblik du har i sikkerhedsforanstaltningerne i min fæstning, det undrer mig at du ikke nævnte sølvpapirs tapetet :)....

Nå men sarkasme til side "Du er da mega paranoid" - "derfor udviklede du paranoia..." ret stærk bedømmelse af min person og pænt frække udtalelse, nær ærekrænkelse at komme med sådanne udtalelser - Men det er selvfølgelig nemmest at forsøge at råbe endnu højere hvis nogen forsøger at påpege faren ved det der siges og den holdning til overvågning og privatliv der stilles til skue i dit indlæg.

Jeg kan kun tage dit seneste indlæg med et smil og en stille hovedrysten for det du gør og dine insinueringer omkring hvorledes jeg skulle skade andre med min væremåde.

Men det glæder mig da at, du fortæller os, at du ikke fortæller om alt via sms, mail etc. det viser at der trods alt er et meneske med en smule omtanke i dig - Problemet er at det er langt fra alle som viser den slags omhu og derfor gør den type overvågning du ikke har noget imod, disse menesker meget sårbare overfor teknologi som pr. definition er usikker med bagdøre etc. og det er de menesker du bør tænke på at beskytte, for de er ikke ligesom dig i stand til at gennemskue hvilken effekt deres brug af diverse teknologier kan have.

  • 0
  • 0
Jens-Peter Vraa Jensen

Nej - det er ingen overraskelse. Problemet er, at "BlackBerry" ikke er én ting, men benyttes sammen med et andet ord, når vi taler produkter. Eks:

BlackBerry SmartPhone
BlackBerry Enterprise Server
BlackBerry Internet Service
BlackBerry Messenger

Udfordingen er, at medierne bruger ligepræcis 0 sekunder på sådanne artikeler, ud over at skrive af, efter hinanden og måske lave copy/paste på Google Translate.

Historien fra Indien (og helt sikker en række andre lande - UAE eks.) er, at de har nogle nationale efterretningstjenester og love, som nationalt medfører at få adgang til forskellige data.

BlackBerry Internet Service (BIS) har ALDRIG været lanceret som en sikker service fra RIM/BlackBerry, men hvilken journalist kunne dog formaste sig til at læse en security guide, hvor det er nævnt så tidligt, at det næsten står før overskriften.

I Indien ønskede de, at RIM (som de hed dengang) skulle udlevere BIS data fra BBM/PIN beskeder i klar tekst. Dette var der en længere "diskussion om" hvor RIM til sidste måtte bøje sig. De nærmere detaljer er fortrolige, hvilket er helt normalt i den slags situationer.

BlackBerry anvender en proprietær protokol til at route data fra devices til en server. Denne kaldes SRP (Service Relay Protocol). Payloaden kan være hvad som helst, eks. med BB10/BES 10 er det ActiveSync som er AES-256 krypteret med en nøgle, der er udvekslet direkte mellem enheden og BES 10 serveren.

I BIS miljøer er BBM (BlackBerry Messenger) og PIN beskeder 3DES krypteret, men da nøglen er fælles for alle enheder kalder de det blot "scrambling".

I forbindelse med BIS er email payload ukrypterede men komprimerede. Der var tilsyneladende en ændring i kompressionsalgoritmen i 2009 (svjh) som bevirkede at NSA for en kort periode mistede evnen til at udpakke data.

Jeg så et screenshot på Heise, af en - tilsyneladende - "dekrypteret" mail. Jeg hæftede mig ved at der i titel baren stod "BlackBerry [CMIME]". CMIME er netop "service bogen" (=konfigurations settings) til BIS email.

Hvis NSA har formået at fortolke SRP samt udpakke komprimerede data, mener jeg ikke, at de har fortjent årets tryllepris i kryptografi.

BlackBerry har meddelt, at de fortsat anser BES løsningen for sikker og at de ikke har indbygget bagdøre i deres kryptoløsninger.

Så ja - der har været adgang til usikret BlackBerry trafik.

BlackBerrys sikre produkter har været udsat for en lang række reviews - eks. af Frauenhofer instituttet, som bl.a. ser på om kryptoprotokoller er korrekt implementeret.

Når det er sagt, skal jeg ikke kunne sige om BlackBerry har gjort som mange andre: Brugt offenligt tilgængelige krypto biblioteker, hvor NSA har manipuleret med implementeringen således at sikkerheden er væsenligt svækket, men som i øvrigt anses for sikre. Det vil jeg overlade til udviklere og kryptologer at kigge nærmere på.

Jeg har ikke set noget konkret omkring NSA og adgang til sikret BlackBerry kommunikation, dvs. mellem en BB Smartphone og deres BlackBerry Enterprise Server.

  • 0
  • 0
Log ind eller Opret konto for at kommentere