Svensk lovforslag skal give politi lov til at hacke telefoner med malware

Illustration: vmargineanu | Bigstock
Et nyt lovforslag skal give svensk politi lov til at hacke mistænktes telefoner med malware. Forslaget forventes at blive vedtaget i Riksdagen torsdag.

Det svenske politi vil have mulighed for at læse med, når mistænkte kommunikerer via krypterede beskedtjenester som Signal og Telegram, og derfor skal et nyt lovforslag give ordensmagten lov til at hacke telefoner med malware.

Det skriver Berlingske på baggrund af en artikel hos Sveriges Radio.

Riksdagen forventes at vedtage forslaget på torsdag, og malware-indsatsen hos svensk politi vurderes at komme til at koste omkring 100 millioner svenske kroner om året (70 millioner danske kroner, red.).

Borgeren behøver ikke være mistænkt

Forslaget lægger op til, at politiet kun må benytte sig af den ondartede software, hvis der er mistanke om en grov forbrydelse – men til gengæld behøver den borger, der bliver overvåget, ikke at være mistænkt for noget som helst.

Der kan også være tale om en person, som en mistænkt forventes at kontakte.

Ideen møder kritik fra blandt andet det svenske advokatsamfund, hvor generalsekretær Mia Edwall Insulander mener, at forslaget er for meget.

»Vi har ret til et privatliv og at være i fred for statens kontrol,« siger hun til Sveriges Radio.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Nobel

Hvordan har man forestillet sig det skulle kunne gøres i praksis?

Trafik kan overvåges, det er der ikke noget nyt i, og metadata kan overvåges, det er der heller ikke noget nyt i?

Men hvordan i alverden har de tænkt sig at de målrettet kan lægge noget software på en telefon, hvor man må formode at målet er at knække kryptering på Signal og Telegram (og lignende).

Det virker lidt som om den svenske Rigsdag har læst lidt for mange kriminalromaner, for det er altså ikke noget der lige er så let at gøre i praksis - med mindre de har tænkt sig at slippe en virus løs, hvor man ingen kontrol har over udbredelsen, hvilket kan have fatale følger.

  • 7
  • 0
Christian Nobel

Kan det gøres med en key logger eller ved på anden at se, hvad man taster, inden det bliver krypteret?

Og hvordan lægger man liiiiige en keylogger på EN telefon udefra?

Noget andet er hvis der skydes med spredehagl (og det vil i sig selv heller ikke være trivielt, pga. den store fragmentering af telefon OS'er), hvor konsekvenserne kan være fuldstændigt uoverskuelige.

  • 2
  • 0
Christian Nobel

I den svenske artikel står der:

"På torsdag väntas riksdagen ge polisen möjlighet att spionera på misstänkta med hjälp av trojaner eller virusprogram."

Ja og?

Det forklarer da stadigvæk ikke hvordan de vil bevæge sig fra technovrøvlet i kriminalfilm til hvordan det overhovedet skal kunne gøres i den virkelige verden - med mindre man vil acceptere fuldstændigt uoverskuelige følgeskader.

  • 2
  • 0
Martin Lauritzen

Kunne man ikke tænke sig, at man sendte malware i en sms, en e-mail eller lignende (via link, attachment, el.lign.)? Det er da "simpelt nok", såfremt der er sårbarheder at udnytte.

Der ud over, er der sikkert også andre sjove muligheder vi ikke umiddelbart kender til, men som diverse isrealske, amerikanske og europæiske virksomheder hele tiden finder og udvikler systemer til at udnytte.

Så vidt jeg husker, er der rygter om at i hvert fald amerikanerne har projekter igang, hvor de simpelthen forsøger at kapre og indlejre skadelig data direkte i en brugers datastrøm, så brugeren ikke aktivt skal foretage sig en handling, for at blive kompromiteret.

  • 4
  • 0
Martin Glob

Fejl i Android/IOS, fejl i chipset, fejl i apps... Mulighederne er mange, selvom man ikke har en tryllestav.

Det er set før og der sidder tusindevis af rigtig dygtige mennesker hos efterretningstjenester, kriminelle organisationer med uanede ressourcer.

Og det samme hos virksomheder der nok tilbyder mere end deres web site lige fortæller (f.eks. Cellebrite, Zimperium o.m.a)

Det er jo "blot" en computer med 2G, 3G, 4G, WiFi x, NFC, Bluetooth x, USB x forbindelse til omverden ;-)

  • 2
  • 0
Christian Nobel

Fejl i Android/IOS, fejl i chipset, fejl i apps... Mulighederne er mange, selvom man ikke har en tryllestav.

&

Ikke at forglemme bagdøre

Jo jo, det er jeg sådan set heller ikke uenig i, men det er en bredspektret angrebsvinkel.

Det jeg spørger til er hvordan man helt konkret vil målrette en "malware" mod en specifik telefon, tilhørende en og kun en mistænkt - når man vel at mærke tager højde for at det eneste man trods alt har til rådighed er den traffik der flyder fra den pågældende enhed, men ingen fysisk adgang til enheden.

  • 1
  • 0
Sune Marcher

Det jeg spørger til er hvordan man helt konkret vil målrette en "malware" mod en specifik telefon, tilhørende en og kun en mistænkt - når man vel at mærke tager højde for at det eneste man trods alt har til rådighed er den traffik der flyder fra den pågældende enhed, men ingen fysisk adgang til enheden.

På den måde andre nationer allerede gør det?

Hvordan det helt præcist teknisk fungerer kommer an på hvad målet er, og hvad der findes af exploits – tidligere har der fx været versioner af iMessage med RCE, eller Stagefreight buggen på Android.

Idéen om universelle bagdøre er "technovrøvlet i kriminalfilm", men targeted pwn er bestemt ikke – der er firmaer der specialiserer sig i den slags. Det er bare utroligt dyrt.

  • 0
  • 0
Christian Nobel

Hvordan det helt præcist teknisk fungerer kommer an på hvad målet er, og hvad der findes af exploits – tidligere har der fx været versioner af iMessage med RCE, eller Stagefreight buggen på Android.

Men igen - jeg er the bad guy, men du aner ikke hvilken type telefon jeg har, eller hvilket OS den benytter.

Selv om du så er i stand til at lave DPI af trafikken, idet vi forestiller os at du har direkte adgang til telenetværket, hvordan vil du så kunne lægge en malware (som skulle kunne bryde en kryptering du ikke nødvendigvis kan identificere) ned på lige præcis min telefon?

  • 0
  • 0
Sune Marcher

Men igen - jeg er the bad guy, men du aner ikke hvilken type telefon jeg har, eller hvilket OS den benytter.

Selv om du så er i stand til at lave DPI af trafikken, idet vi forestiller os at du har direkte adgang til telenetværket, hvordan vil du så kunne lægge en malware (som skulle kunne bryde en kryptering du ikke nødvendigvis kan identificere) ned på lige præcis min telefon?

Jeg tror din præmis er forkert :-)

Hvis du vil pwne en telefon så ved du allerede at der er en telefon. Måske skal det forsøges at lure offeret ind på en exploit-side, måske har man fra andre kilder den nødvendige information til at kunne lave et direkte angreb. Måske er det at være tæt nok på til at kunne angribe en Bluetooth stak, at kompromittere et access point, eller lignende.

Pointen med malware er netop ikke at bryde kryptering – det er netop fordi man ved man ikke kan bryde den, at man vil ty til malware for at sidesteppe den krypterede kommunikation.

Og det er grunden til jeg egentligt er nogenlunde positivt stemt overfor et forslag som dette – det er ikke en bagdør til masseaflytning, det kræver godt, gammeldags politiarbejde, samt besværligt og muligvis ret dyrt targeted angreb.

  • 0
  • 0
Kenn Nielsen

Og om nogle måneder lyder det:

"Vi har allerede fastlagt at Signal og Telegram er terroristprogrammer som benyttes samfundsomstyrtende. Beviset er at vi allerede har hackerret/overvågningsret uden dommerkendelse på mobiltelefoner"

Har du programmet installeret på din PC, sidestilles dette med et uautoriseret hackerværktøj. - Den administrative bøde er een googol kroner."

Glidebane !!

K

  • 2
  • 0
Martin Lauritzen

Og det er grunden til jeg egentligt er nogenlunde positivt stemt overfor et forslag som dette – det er ikke en bagdør til masseaflytning, det kræver godt, gammeldags politiarbejde, samt besværligt og muligvis ret dyrt targeted angreb.

Nej, jeg ville heller ikke være voldsomt bekymret, hvis lovforslaget var begrænset til den mistænktes telefon. Men det er det jo netop ikke. Som det skrives oven over så står der desværre også lige: "kan också vara någon som den misstänkte väntas kontakta", aka alle i hele verden ;)

  • 3
  • 0
Christian Nobel

Hvis du vil pwne en telefon så ved du allerede at der er en telefon. Måske skal det forsøges at lure offeret ind på en exploit-side, måske har man fra andre kilder den nødvendige information til at kunne lave et direkte angreb. Måske er det at være tæt nok på til at kunne angribe en Bluetooth stak, at kompromittere et access point, eller lignende.

Men igen, igen.

De to sidste punkter fordrer du er endog ret tæt på "forbryderen", hvilket i sig selv sjældent er muligt.

Det første tager det sædvanlige udgangspunkt i at forbrydere er dumme - og det er der muligvis nok også nogen der er, men hardcore forbrydere er det sjældent, så tror du seriøst de vil hoppe på en hjemmeside der reklamerer for at de kan få en penis på 14 tommer, hvis bare de lige installerer dette stykke software.

Jeg har stadig meget svært ved at se hvordan det skal kunne lade sig gøre målrettet, men omvendt kan man jo godt være bekymret for at svenskerne vil slippe mobiltelefoniens svar på en Coronavirus løs - for som Albert siger, det kunne jo potentielt set være alle telefoner på kloden der kontaktede mister bad guy.

Og som jeg også har skrevet andet steds, al overvågning er et tveægget sværd, for hvis det bliver brugt aktivt mod den der overvåger, kan man enten bruge overvågning til at illudere egen uskyld, eller flytte fokus over på uskyldige.

De gode græd, og de onde lo.

  • 0
  • 0
Log ind eller Opret konto for at kommentere