Smartphone-angreb: Hvornår kommer ulven?

TEMA: Spørgsmålet er ikke, om smartphones bliver et yndet mål for it-kriminelle, men hvornår. Et af svarene lyder: Når Windows 7 bliver mere udbredt end Windows XP på pc-markedet.

Lige siden styresystemer på mobiltelefoner begyndte at blive mere avancerede, har parolen fra it-sikkerhedsbranchen næsten en gang årligt lydt, at nu retter de it-kriminelle skytset mod smartphone-markedet - altså telefoner med avancerede styresystemer som på Apples iPhone eller telefoner med Googles Android.

Men foreløbig er der ikke rigtigt sket noget på den front. En forsvindende lille del af den samlede strøm af malware - altså virusser, trojanske heste, orme etc. - har således været rettet mod smartphones.

Eksperter i it-sikkerhed er enige om, at malware før eller siden også vil ramme smartphones, spørgsmålet er blot hvornår. Svaret afhænger i høj grad af, hvornår det bliver lettere at hugge penge fra folk via deres telefoner end via deres computere, vurderer forskningschef i den finske it-sikkerhedsvirksomhed F-Secure Mikko Hypponen.

Det hænger igen sammen med, hvornår Microsofts styresystem Windows 7 bliver mere udbredt end styresystemet Windows XP på pc-markedet. Windows 7 er nemlig mere sikkert end det ti år gamle Windows XP, så når Windows 7 når tilstrækkelig udbredelse, bliver det for besværligt for de it-kriminelle at stjæle penge via folks pc'er, og derfor vil de i stedet kaste sig over smartphone-markedet, vurderer Mikko Hypponen.

»Angriberne ville være dumme, hvis de på nuværende tidspunkt gik efter noget som helst andet end Windows XP. Ikke alene er styresystemet det letteste mål, det er også langt det største mål,« siger han med henvisning til, at Windows XP stadig er verdens mest udbredte styresystem.

Om to år skulle Windows 7 imidlertid overhale Windows XP på verdensplan, og dermed er der udsigt til, at hackere og andre begynder at angribe smartphones i langt højre grad end i dag.

Alene i Danmark er der flere hundrede tusinde smartphones i omløb. Og når de it-kriminelle før eller siden kaster sig over telefonerne, hvis antal er stadig stigende, kan ingen vide sig sikre - uanset om telefonen er en iPhone, en Android-telefon, en telefon med styresystemet Windows Mobile eller andet.

Det hænger sammen med, at smartphones i virkeligheden er små computere, som kører stadig mere avancerede styresystemer og applikationer. Og al erfaring viser, at den slags styresystemer og applikationer også indeholder sikkerhedshuller, der vil blive udnyttet af personer med en særlig kombination af gode evner og dårlig moral.

Sikkerhedsekspert i virksomheden CSIS, Peter Kruse, er da heller ikke i tvivl om, at malwaren kommer til telefonerne på et tidspunkt.

»Softwarekompleksiteten avler potentielle fejl. Og kompleksiteten i softwaren i smartphones i dag er så høj, at antallet af kodelinjer vil introducere potentielle sårbarheder,« siger Peter Kruse.

Han mener også, at der ligger en udfordring i den måde, vi bruger smartphones på. For mens de fleste it-brugere nok på et eller andet tidspunkt i deres liv har hørt noget om firewall, antivirus og den slags til deres pc, så står det anderledes skidt til med kendskabet på smartphone-markedet.

»De fleste tænker nok ikke over, at når de går ned og køber sådan en telefon, så er det faktisk en lille computer, og det tror jeg, at nogle kommer til at finde ud af på den hårde måde,« siger han.

Selv om malware til telefoner i den grad ikke er udbredt lige nu, så har der allerede været flere hændelser, hvor det er gået galt på smartphones.

Mikko Hypponen fortæller om en applikation, der umiddelbart lignede et uskyldigt spil til en smartphone, hvilket det også startede ud med at være. Men en russisk hacker fik lavet om i spillet i en version til styresystemet Windows Mobile. Spillet, et skydespil a la Counterstrike, ringede derefter til otte forskellige, dyre numre i udlandet en gang om måneden, hvorefter penge for de dyre opkald blev overført til hackeren uden ofrets viden.

Netop fordi der på den måde er direkte adgang til mobiltelefon-ejerens pengepung modsat på en pc, er mobiltelefonen på mange måder også et mere oplagt mål for de it-kriminelle.

»Hvis jeg inficerer din telefon, behøver jeg blot at lave et opkald til et premium rate-nummer, og så får jeg penge lige med det samme. Det kan du ikke med en computer, fordi en computer ikke længere har et modem,« siger han.

Også til Android-telefoner har der været eksempler på, at folk med ondt i sinde har haft eller kunne have haft frit spil. Googles online-applikationsbutik har eksempelvis været plaget af et program, der på overfladen lignede en klon af det klassiske ormespil, som flere måske vil kunne huske fra gamle Nokia-telefoner. Men under overfladen gemte spillet på en ikke så åbenlys funktion - i dette tilfælde en stump kode, der via GPS overvågede den intetanende brugers gøren og laden.

Ligeledes har iPhone været målet for ondsindede applikationer, dog hidtil kun jailbreakede iPhones, hvor brugerne selv har låst deres telefon op, så de uden om Apples onlinebutik har kunnet installere programmer.

Generelt vurderer Mikko Hypponen, at softwaredistribueringssystemer, som det Apple og til dels Google anvender, er med til at gøre smartphones mere sikre, fordi der som udgangspunkt er mere styr på distribueringen af kode, end det er tilfældet på en pc:

»Begge modeller er overlegne i forhold til de modeller, der findes til Windows-computere. Hvis du skal bruge et spil eller et værktøj, så går du ind på en tilfældig hjemmeside, du aldrig har hørt om, og så downloader du en exe-fil og kører den. Der er ingen tillid overhovedet - det er et mareridt.«

Hackere har dog fundet andre veje til at inficere smartphones med ondsindet kode, nemlig via de såkaldte sårbarheder eller exploits, altså huller i applikationer eller styresystemer, som gør det muligt at afvikle kode, der ikke skulle kunne afvikles.

At det kan lade sig gøre har også været demonstreret - på en ikke-jailbreaket iPhone vel at mærke. Et hul i SMS-applikationen på telefonen gjorde det muligt via en særligt udformet SMS at afvikle kode med root-adgang på enheden. I teorien vil det dermed være muligt at få telefonen til at videresende koden til andre iPhones, hvorefterved en orm ville kunne spredes til alverdens iPhone-brugere i løbet af ganske kort tid. Heldigvis blev hullet opdaget, før ondsindede hackere fik øje på det, og Apple har nu lukket sårbarheden.

»Det kunne være sket, men det skete ikke. Det kommer til at ske før eller siden, men hvornår ved jeg ikke,« siger Mikko Hypponen.

I Danske Bank, som både har en netbank-applikation til iPhone og Android, tager it-direktør Peter Schleidt truslen om it-angreb mod smartphones afslappet, og han ser ikke umiddelbart nogen grund til at indføre ekstra sikkerhedsforanstaltninger, som kan sænke brugervenligheden, så længe truslen stadig er begrænset.

»Vi skal jo ikke genere kunderne, vi skal gøre det på rette tid. Vi har jo også den interesse, at det skal være nemt at være kunde og komme i kontakt med os. Det er en balance mellem sikkerhed og brugervenlighed,« siger han og tilføjer:

»Én ting er januar 2011, en anden ting er januar 2013.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Flemming Frandsen

Det er påfaldende at virus lader til at være så stort et problem på DOS og Windows og stort set ikke-eksisterende på andre systemer.

Det kan selvfølgelig godt ske at der er en overvægt af fejl i Windows at MS er sløve til at rette de fejl der er og at Windowsbrugere generelt er dårligere til sikkerhed end alle andre, men jeg tror der er en helt anden mekanisme på spil, nemlig software distribution.

Windows brugere får typisk deres programmer fra tilfældige websites, ofte via piratkopiering i stedet fra et officielt website.

Når et program er installeret på Windows, så er det helt op til programmet selv at finde opdateringer.

Alle andre systemer har en mere kontrolleret løsning til distribution af software og fejlrettelser.

Gad vide om ikke virus-problemet går væk sammen med Windows?

  • 0
  • 0
#2 Jesper Hald

generelt nemme at hacke. Hvis vi f.eks. kigger på jailbreakme eller lockpicker, så er det jo to redskaber, som nemt kan køres på smartphones. Oven i købet uden at brugeren opdager det. Jailbreakme tager det ca. 30 sek. at køre. Dvs. du skal blot have adgang til telefonen i den korte periode! Der findes allerede systemer, hvormed virksomheder kan detecte jailbroken iPhones eller rootede Androids, men det koster jo, og her vælger rigtigt mange virksomheder, at spare, da "der jo ikke er noget problem!" Næh, det er jo nok rigtigt! Men på den andens side, så kører jeg jo ikke galt i min bil hver dag, men jeg tager da selen på alligevel, for hvad nu hvis...?

  • 0
  • 0
#3 Thomas Nielsen

Jeg tror ligesom Mikko, Peter og andre folk fra sikkerhedsbranchen, at malware desværre ikke kommer til at forsvinde "bare" fordi at andre systemer overtager fra Windows XP.

Det vil bare få de kriminelle til at skifte fokus. For så længe der er penge i skidtet, så vil der være folk der er klar til at programmere malware til systemerne.

Med hensyn til smartphones, så hører jeg fra mine kunder at det IKKE er malware de er bekymret for, men datatab i e-mail klienterne derpå, eller hvilke filer deres brugere kan finde på at gemme på enhederne. Derfor ser jeg flere forespørgsler på Mobile Device Management og kryptering til smartphones, end på decideret malware beskyttelse.

Men det er kun et spørgsmål om tid før det ændre sig.

Så brugeropdragelse er klart den vigtigste del af al det her med sikkerhed. Hvis vores brugere får en bedre indsigt i hvad de skal passe på, så vil de også lettere kunne undgå at komme i situationer hvor der skal reddes data, eller lukkes ned for adgangen til forskellige ting.

Mvh Thomas

  • 0
  • 0
#4 Poul-Henning Kamp Blogger

Det handler ikke så meget om at det skal være "andre systemer end XP" som om at de pågælende systemer er designet til at håndtere trusslen fornuftigt.

Sikkerhedsmodellen, hvis man vælger at kalde den det, i Windows har altid været noget amatøragtigt klamp, der er blevet sømmet på efterhånden som markedet har trængt igennem Microsofts egenrådige "vi ved bedre" holdning.

Apple, helt klart med fordel af at ligge i baghjul, har derimod taget sikkerheden på forkant og hvis du kigger efter vil du finde mange detaljer i deres operativsystem der vidner derom.

Det faktum at der trods den meget store og meget "high-value" målgruppe iPhone udgør, stadig ikke har været nogle virusudbrud skylds betemt ikke at der ikke er nogen der har forsøgt.

Det skyldes derimod at iOS er bygget med en sikkerhedsarkitektur der er bygget til at afvise truslen.

F.eks var der mange der hylede op om iPhones manglende multitasking, uden at overveje at "ting der kører skjult i baggrunden" dermed var udelukket som princip.

Hvis du checker dokumentationen for hvad der sker når brugeren lukke en app, vil du opdage at det er ikke noget app'en får lov til at blande sig i. Den får et signal og ganske få millisekunder til at pakke sine sydfrugter og der er ingen måde at "lade som om man lukker" og skjult køre videre i baggrunden.

Den facilitet fik Windows, fordi kunderne klagede over at det tog for lang tid at lukke bla. Word. Derfor er det nu helt almindeligt at se processer køre videre i både halve og hele minutter på Windows, efter at der er trykket på krydset.

Gæt selv hvad den også bliver brugt til.

Derfor er det heller ikke nok at starte en sshd process når en iPhone jail-breakes, processen skal gøres acceptabel for iOS så den ikke bare bliver myrdet ved første givne lejlighed.

Sikkerhed per design handler om den slags trade-offs og Apples valg af "ingen multitasking" var i stort omfang drevet af sikkehedshensynet, det forhindrer f.eks også effektivt en app i at overtage en anden app's input eller output.

Derfor er der ingen fare for at en "evil-app" aflytter hvad du laver med din bank-app.

Grunden til at Microsoft ikke laver en fornuftig sikkerhedsmodel for Windows(N+1) er at det ville rive hele deres økosystem på jorden: Stort set alt software skulle gås efter i sømmene. De prøvede lidt af den slags med Vista og de fik tæv efter noder "for at gøre det besværligt".

Apple har valgt at "gøre det besværligt" up front, dvs. svært for udviklerne istedet for svært for brugerne.

Poul-Henning

  • 0
  • 0
#6 Jakob Damkjær

Godt indlæg,

mener dog at det er en af de ting som sker ved jail breaket at man inaktivere rigtig mange af de sikkerhedsfeatures som iOS har for at kunne gennemføre jailbreaket. At der så er assoterede ting som du er istand til at gøre på en jailbreaket telefon som er rigtig dumme fra et sikkerhedsmægsigt synspunkt.

Men alt det sagt så er et ødelagt styresystem ødelagt og det er den meget meget høje pris som jailbreakerene betaler. At der så er mange der distribuere jailbreaks der ikke på behørig vis informere om at de ødelægger store dele af sikkerheds systemet på iOS er grænsende til uforsvarligt.

Personligt har jeg ikke mødt en jailbreaker jeg ikke kunne overbevise om at det var en rigtigt rigtig dårlig ide at ødelægge deres iOS dims for at kunne gøre de småting som en jailbreaket telefon kan som en standard iOS install ikke kan. Specielt når de til fulde forstår de sikkerhedsmægsige implikationer af et jailbreak.

/Jakob

  • 0
  • 0
#7 Baldur Norddahl

Som der også indrømmes i artiklen, er det allerede ret attraktivt at hacke en smartphone. Modsat et Windows XP hack kan smartphone malware omsættes direkte til penge.

Det er heller ikke en enten-eller situation. Hackerne holder sig ikke til Windows XP fordi det er nemmeste. De tager alt hvad de kan komme til og bruger både-og taktikken. De er ikke dovne.

Når vi ikke ser flere hackede smartphones skal forklaringen ikke findes i Windows XP. Det er rent nonsense. Forklaringen ligger i telefonerne, som på trods af de er "små computere" faktisk er en hel del sværere at hacke. Ikke umulige forstås. Bare tilstrækkeligt sværere til at det endnu ikke er lykkedes nogen at lave et storskala angreb. Det er ikke på grund af mangel på forsøg.

En debattør påpeger at han kan hacke en smartphone på ganske kort tid, blot han har den i hånden. Men hvordan skal en hacker der sidder i et fjernt land få mulighed for at få min telefon i hånden? Det er en effektiv stopper for storskala angreb, selvom det måske ikke er en effektiv stopper for små angreb.

Der er helt sikkert plads til at forbedre sikkerheden på telefoner meget, men svaret er ligeså sikkert ikke at kopiere antivira fiaskoen fra Windows XP miljøet.

Lad os få noget rigtigt sikkerhed indbygget i operativsystemet. At det så ikke lige passer ind i nogle etablerede virksomheders forretningsplan er bare ærgeligt. Jeg tror ikke de vil lykkes på trods af at man får plantet artikler som denne.

  • 0
  • 0
#8 Peter Andersen

citat: "Windows brugere får typisk deres programmer fra tilfældige websites, ofte via piratkopiering i stedet fra et officielt website."

Ahh er det ikke dejligt med grove generaliseringer.. Måske du kan bakke dit postulat op med lidt fakta?

citat: "kigger på jailbreakme eller lockpicker, så er det jo to redskaber, som nemt kan køres på smartphones. Oven i købet uden at brugeren opdager det. Jailbreakme tager det ca. 30 sek. at køre. Dvs. du skal blot have adgang til telefonen i den korte periode!"

Det er et problem for de brugere der ikke får opdateret deres telefons software, men dem som sørger for at opdatere når der er nye opdateringer, så er det ikke et problem. Det hul jailbreakme.com benyttede er lukket for længe siden, hvorfor det ikke længere er en reel trussel. Hvorvidt der er en side til at roote Android skal jeg ikke kunne sige. Desuden kræver det fysisk adgang til telefonen, det udelukker ret hurtigt large scale angreb.

citat: "F.eks var der mange der hylede op om iPhones manglende multitasking, uden at overveje at "ting der kører skjult i baggrunden" dermed var udelukket som princip."

Det lyder meget godt, men du glemmer hvilket kerne der ligger bag iOS. Det har altid været muligt at køre kode i baggrunden på en iPhone, selvom userspace applikationer ikke fik lov til det. IOS har altid kunnet multitaske - ellers var det ikke muligt at lave en telefon der kan udføre mere end en ting af gange.. (det ville være så surt at miste muligheden for at modtage opkald mens man skriver en e-mail eller surfer i mobilesafari. :))

citat: "Derfor er det heller ikke nok at starte en sshd process når en iPhone jail-breakes, processen skal gøres acceptabel for iOS så den ikke bare bliver myrdet ved første givne lejlighed."

jo det er faktisk nok. Start den som en LaunchDaemon og den kører uendeligt uden at iOS blander sig i hvornår den skal lukkes ned, eller hvilke brugere der man connecte. Der er stor forskel på grafiske applikationer der startes via dashboardet og program kode der køres på "anden vis".

citat: "mener dog at det er en af de ting som sker ved jail breaket at man inaktivere rigtig mange af de sikkerhedsfeatures som iOS har for at kunne gennemføre jailbreaket."

Hvilke sikkerhedsfeatures er det man omgår?

citat: "Personligt har jeg ikke mødt en jailbreaker jeg ikke kunne overbevise om at det var en rigtigt rigtig dårlig ide at ødelægge deres iOS dims for at kunne gøre de småting som en jailbreaket telefon kan som en standard iOS install ikke kan. Specielt når de til fulde forstår de sikkerhedsmægsige implikationer af et jailbreak"

Jeg vil meget gerne oplyses om hvilke implikationer det medfører at jailbreake. Jeg kan se en ting som er alvorlig, men som man ikke kan omgå hvis man lige bruger knoppen lidt. (Og er det ikke i sidste ende ejeren ansvar at telefonen er sikker, ganske som det er slutbrugerens ansvar at have antivirus og holde den opdateret...)

  • 0
  • 0
Log ind eller Opret konto for at kommentere