Open source-projektet med det mindre mundrette, men ganske sigende navn Android IMSI-Catcher Detector skal munde ud i en App, der kan afsløre falske basestationer. Også kaldet IMSI-catchere. Det er udstyr af den type, som norske og svenske medier har afdækket skulle være opstillet rundt om i vores nabolandes respektive hovedstæder med aflytning af mobilnettet for øje.
Version2's udsendte har været en tur rundt i København med et Nexus 5 telefon udstyret med Android IMSI-Catcher Detector (AIMSICD). Umiddelbart viste app'en dog ingen tegn på, at der skulle være opstillet udstyr til mobilaflytning i hovedstaden.
[video: vimeo.com/114960730/|Nick Vengel Nielsen fortæller her om AIMSICD på en rooted Nexus 5.]
»Jeg kiggede med jævne mellemrum på, om den fungerede, men opdagede ikke, der skulle være noget galt,« siger it-sikkerhedsentusiast og Version2's tester Nick Vengel Nielsen.
Men dermed ikke sagt, at de ikke er der. For dels er app'en, der er på alpha-stadiet, langt fra færdigudviklet, og dels er en Nexus 5 ikke på listen over de telefoner, som folkene bag AIMSICD anbefaler på projektets hjemmeside, hvor koden ligger hos GitHub.
Og derudover er der også en andet grundlæggende problem i forhold til at teste, om app'en ville afsløre en falsk basestation.
»Det er svært at se, om det virker, når man ikke har en falsk basestation ved hånden,« siger Nick Vengel Nielsen.
Selve app'en var ikke videre bøvlet at installere og den har som sådan fungeret nogenlunde, fortæller han. Godt nok findes den på nuværende tidspunkt ikke på Googles Play-tjeneste, men en app-installationsfil kan hentes fra projektets hjemmeside og installeres telefonen.
Og så er det nødvendigt med en API-nøgle for at kunne tilgå den OpenCellID-database, som app'en gør brug af. Det er en community-database, der indsamler GPS-data om mobilmaster.
Root
Desuden anbefaler udviklerne bag app'en, at telefonen er rooted. Altså at den er låst op, så der er øget læse- og skriveadgang i apparatet i forhold til, hvad der normalt ville være fra fabrikkens side. En af funktionerne i app'en, AT Command Processor, virker dog kun med root. Netop den funktion virker dog ifølge udviklerne på langt fra alle enheder på nuværende tidspunkt.
Funktionen så da heller ikke ud til at fungere på den ellers rootede Nexus 5, som Version2s udsendte var udstyret med.
App'en, der altså endnu har stærkt begrænset funktionalitet, fungerede nogenlunde gnidningsløst på Nick Vengel Nielsens tur rundt i København, hvor appens ikon ville skifte karakter, såfremt en mistænkelig mobilforbindelser bliver registreret. Hvilket altså ikke skete.
Dog var der en enkelt driftsmæssig knast, som Nick Vengel Nielsen bed mærke i.
»Den har suget en del batteri. Det virker som om, den hiver GPS-positionen, hver gang den skifter mast. Så GPS'en er konstant aktiv.«
Det er endnu ikke tilfældet, men målet med AIMSICD er en app, der kan køre på en bred vifte af hardware, og blandt andet afsløre graden af kryptering på telefon-forbindelsen til mobilmasten, og om der overhovedet bliver brugt kryptering. Tanken er, at hvis krypteringen pludselig bliver slået helt fra eller kraftig forringet kan det være tegn på, at telefonen er koblet til en falsk basestation med aflytning for øje.
I den forbindelse optræder et link til en Android-udvikler tråd, der går helt tilbage til 2009. Her bliver det diskuteret, hvorvidt der kan implementeres en funktion i Android, så det netop at tilgå informationer om sikkerheden for kryptering på den aktuelle GSM-forbindelse. På den måde ville også apps, som eksempelvis AIMSICD, på let vis kunne tilgå oplysningen og bruge den til at vurdere, om der er lusk på færde i mobilforbindelsen.
Tråden er stadig aktiv her i 2014, hvor seneste kommentar i skrivende stund er fra december med en opfordring til Google, der jo som bekendt står bag Android, om at implementere funktionen. En person, Nick, fra Androids sikkerhedshold har svaret i debatten, at funktionen godt kunne finde vej til Android og i den forbindelse efterlyser han frivillige, der vil hjælpe med at implementere den.
Lidt længere nede i tråden bliver der udtrykt undren over, at det officielle Android-udvikler hold i den forbindelse skulle have behov for frivillig arbejdskraft, hvis funktionen skal blive en realitet.
I den boldgade har der netop været et projekt på crowdfunding-tjenesten Kickstarter, der har haft som formål at implementere denne funktion i Android. Projektet er fejlet her i december.
Kramshøj: Ikke helt nemt
Direktør i Solido Networks og V2-blogger Henrik Kramshøj har også haft kig på AIMSICD, som han dog ikke har fået et så godt indtryk af på de telefoner, han har testet på.
»De telefoner, jeg har prøvet på, har det ikke været helt nemt,« siger Henrik Kramshøj, som dog bestemt ikke er afvisende over for, at app’en vil køre langt bedre på andre enheder.
Derudover mener han, det vil være en god idé, hvis en parameter blev indbygget i selve Android-styresystemet, så det - som issue 5353 lægger op til - vil være muligt at se, hvordan det står til med krypteringen på telefonens aktuelle forbindelse.
»Det synes jeg ville være en fantastisk forbrugeroplysning. På samme måde, som vi har vænnet os til, at vi kan se en hængelås og en HTTPS-indikator, så vil det være naturligt, at man også viser det på en mobiltelefon.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
