Svensk lovforslag skal give politi lov til at hacke telefoner med malware

18. februar 2020 kl. 11:1424
Svensk lovforslag skal give politi lov til at hacke telefoner med malware
Illustration: vmargineanu | Bigstock.
Et nyt lovforslag skal give svensk politi lov til at hacke mistænktes telefoner med malware. Forslaget forventes at blive vedtaget i Riksdagen torsdag.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det svenske politi vil have mulighed for at læse med, når mistænkte kommunikerer via krypterede beskedtjenester som Signal og Telegram, og derfor skal et nyt lovforslag give ordensmagten lov til at hacke telefoner med malware.

Det skriver Berlingske på baggrund af en artikel hos Sveriges Radio.

Riksdagen forventes at vedtage forslaget på torsdag, og malware-indsatsen hos svensk politi vurderes at komme til at koste omkring 100 millioner svenske kroner om året (70 millioner danske kroner, red.).

Borgeren behøver ikke være mistænkt

Forslaget lægger op til, at politiet kun må benytte sig af den ondartede software, hvis der er mistanke om en grov forbrydelse – men til gengæld behøver den borger, der bliver overvåget, ikke at være mistænkt for noget som helst.

Artiklen fortsætter efter annoncen

Der kan også være tale om en person, som en mistænkt forventes at kontakte.

Ideen møder kritik fra blandt andet det svenske advokatsamfund, hvor generalsekretær Mia Edwall Insulander mener, at forslaget er for meget.

»Vi har ret til et privatliv og at være i fred for statens kontrol,« siger hun til Sveriges Radio.

24 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
24
21. februar 2020 kl. 11:16

Hvis du vil pwne en telefon så ved du allerede at der er en telefon. Måske skal det forsøges at lure offeret ind på en exploit-side, måske har man fra andre kilder den nødvendige information til at kunne lave et direkte angreb. Måske er det at være tæt nok på til at kunne angribe en Bluetooth stak, at kompromittere et access point, eller lignende.

Men igen, igen.

De to sidste punkter fordrer du er endog ret tæt på "forbryderen", hvilket i sig selv sjældent er muligt.

Det første tager det sædvanlige udgangspunkt i at forbrydere er dumme - og det er der muligvis nok også nogen der er, men hardcore forbrydere er det sjældent, så tror du seriøst de vil hoppe på en hjemmeside der reklamerer for at de kan få en penis på 14 tommer, hvis bare de lige installerer dette stykke software.

Jeg har stadig meget svært ved at se hvordan det skal kunne lade sig gøre målrettet, men omvendt kan man jo godt være bekymret for at svenskerne vil slippe mobiltelefoniens svar på en Coronavirus løs - for som Albert siger, det kunne jo potentielt set være alle telefoner på kloden der kontaktede mister bad guy.

Og som jeg også har skrevet andet steds, al overvågning er et tveægget sværd, for hvis det bliver brugt aktivt mod den der overvåger, kan man enten bruge overvågning til at illudere egen uskyld, eller flytte fokus over på uskyldige.

De gode græd, og de onde lo.

22
21. februar 2020 kl. 10:56

Og det er grunden til jeg egentligt er nogenlunde positivt stemt overfor et forslag som dette – det er ikke en bagdør til masseaflytning, det kræver godt, gammeldags politiarbejde, samt besværligt og muligvis ret dyrt targeted angreb.

Nej, jeg ville heller ikke være voldsomt bekymret, hvis lovforslaget var begrænset til den mistænktes telefon. Men det er det jo netop ikke. Som det skrives oven over så står der desværre også lige: "kan också vara någon som den misstänkte väntas kontakta", aka alle i hele verden ;)

21
19. februar 2020 kl. 19:37

Og om nogle måneder lyder det:

"Vi har allerede fastlagt at Signal og Telegram er terroristprogrammer som benyttes samfundsomstyrtende. Beviset er at vi allerede har hackerret/overvågningsret uden dommerkendelse på mobiltelefoner"

Har du programmet installeret på din PC, sidestilles dette med et uautoriseret hackerværktøj. - Den administrative bøde er een googol kroner."

Glidebane !!

K

20
19. februar 2020 kl. 19:31

Dårlig overskrift ! K

17
19. februar 2020 kl. 13:25

Men igen - jeg er the bad guy, men du aner ikke hvilken type telefon jeg har, eller hvilket OS den benytter.</p>
<p>Selv om du så er i stand til at lave DPI af trafikken, idet vi forestiller os at du har direkte adgang til telenetværket, hvordan vil du så kunne lægge en malware (som skulle kunne bryde en kryptering du ikke nødvendigvis kan identificere) ned på lige præcis min telefon?

Jeg tror din præmis er forkert :-)

Hvis du vil pwne en telefon så ved du allerede at der er en telefon. Måske skal det forsøges at lure offeret ind på en exploit-side, måske har man fra andre kilder den nødvendige information til at kunne lave et direkte angreb. Måske er det at være tæt nok på til at kunne angribe en Bluetooth stak, at kompromittere et access point, eller lignende.

Pointen med malware er netop ikke at bryde kryptering – det er netop fordi man ved man ikke kan bryde den, at man vil ty til malware for at sidesteppe den krypterede kommunikation.

Og det er grunden til jeg egentligt er nogenlunde positivt stemt overfor et forslag som dette – det er ikke en bagdør til masseaflytning, det kræver godt, gammeldags politiarbejde, samt besværligt og muligvis ret dyrt targeted angreb.

16
19. februar 2020 kl. 13:08

Hvordan det helt præcist teknisk fungerer kommer an på hvad målet er, og hvad der findes af exploits – tidligere har der fx været versioner af iMessage med RCE, eller Stagefreight buggen på Android.

Men igen - jeg er the bad guy, men du aner ikke hvilken type telefon jeg har, eller hvilket OS den benytter.

Selv om du så er i stand til at lave DPI af trafikken, idet vi forestiller os at du har direkte adgang til telenetværket, hvordan vil du så kunne lægge en malware (som skulle kunne bryde en kryptering du ikke nødvendigvis kan identificere) ned på lige præcis min telefon?

15
19. februar 2020 kl. 12:54

Det jeg spørger til er hvordan man helt konkret vil målrette en "malware" mod en specifik telefon, tilhørende en og kun en mistænkt - når man vel at mærke tager højde for at det eneste man trods alt har til rådighed er den traffik der flyder fra den pågældende enhed, men ingen fysisk adgang til enheden.

På den måde andre nationer allerede gør det?

Hvordan det helt præcist teknisk fungerer kommer an på hvad målet er, og hvad der findes af exploits – tidligere har der fx været versioner af iMessage med RCE, eller Stagefreight buggen på Android.

Idéen om universelle bagdøre er "technovrøvlet i kriminalfilm", men targeted pwn er bestemt ikke – der er firmaer der specialiserer sig i den slags. Det er bare utroligt dyrt.

14
19. februar 2020 kl. 12:09

Fejl i Android/IOS, fejl i chipset, fejl i apps... Mulighederne er mange, selvom man ikke har en tryllestav.

&

Ikke at forglemme bagdøre

Jo jo, det er jeg sådan set heller ikke uenig i, men det er en bredspektret angrebsvinkel.

Det jeg spørger til er hvordan man helt konkret vil målrette en "malware" mod en specifik telefon, tilhørende en og kun en mistænkt - når man vel at mærke tager højde for at det eneste man trods alt har til rådighed er den traffik der flyder fra den pågældende enhed, men ingen fysisk adgang til enheden.

13
18. februar 2020 kl. 22:28

Ikke at forglemme bagdøre Som efterretningstjenester har fået lusket ind i hardware og software... mulighederne er desværre mange, omend vi kan håbe at det svenske politi måske ikke har adgang til dem :)

12
18. februar 2020 kl. 18:02

Fejl i Android/IOS, fejl i chipset, fejl i apps... Mulighederne er mange, selvom man ikke har en tryllestav.

Det er set før og der sidder tusindevis af rigtig dygtige mennesker hos efterretningstjenester, kriminelle organisationer med uanede ressourcer.

Og det samme hos virksomheder der nok tilbyder mere end deres web site lige fortæller (f.eks. Cellebrite, Zimperium o.m.a)

Det er jo "blot" en computer med 2G, 3G, 4G, WiFi x, NFC, Bluetooth x, USB x forbindelse til omverden ;-)

10
18. februar 2020 kl. 14:43

fællesnævneren er teleselskabet, og med det jeg har observeret de ved/kan få af oplysninger. Hvor er problemet så ! kun om det er lovligt eller ej. Teknikken er der GARANTERET hvis koderne er tilgængelige.

9
18. februar 2020 kl. 14:33

Kunne man ikke tænke sig, at man sendte malware i en sms, en e-mail eller lignende (via link, attachment, el.lign.)? Det er da "simpelt nok", såfremt der er sårbarheder at udnytte.

Der ud over, er der sikkert også andre sjove muligheder vi ikke umiddelbart kender til, men som diverse isrealske, amerikanske og europæiske virksomheder hele tiden finder og udvikler systemer til at udnytte.

Så vidt jeg husker, er der rygter om at i hvert fald amerikanerne har projekter igang, hvor de simpelthen forsøger at kapre og indlejre skadelig data direkte i en brugers datastrøm, så brugeren ikke aktivt skal foretage sig en handling, for at blive kompromiteret.

7
18. februar 2020 kl. 14:15

I den svenske artikel står der:

"På torsdag väntas riksdagen ge polisen möjlighet att spionera på misstänkta med hjälp av trojaner eller virusprogram."

5
18. februar 2020 kl. 14:07

Kan det gøres med en key logger eller ved på anden at se, hvad man taster, inden det bliver krypteret? Det kræver dog, man logger både afsender og modtager (der svarer tilbage).

4
18. februar 2020 kl. 13:59

Ja, det er et godt spørgsmål.

Er her mon nogen, som kan hjælpe med at redegøre for, hvordan denne overvågningsmanøvre kan / skal udføres i praksis?

På forhånd tak. Venligst.

3
18. februar 2020 kl. 13:44

Hvordan har man forestillet sig det skulle kunne gøres i praksis?

Trafik kan overvåges, det er der ikke noget nyt i, og metadata kan overvåges, det er der heller ikke noget nyt i?

Men hvordan i alverden har de tænkt sig at de målrettet kan lægge noget software på en telefon, hvor man må formode at målet er at knække kryptering på Signal og Telegram (og lignende).

Det virker lidt som om den svenske Rigsdag har læst lidt for mange kriminalromaner, for det er altså ikke noget der lige er så let at gøre i praksis - med mindre de har tænkt sig at slippe en virus løs, hvor man ingen kontrol har over udbredelsen, hvilket kan have fatale følger.

2
18. februar 2020 kl. 12:53

Lad os håbe EU går ind i denne sag, for det må da være en stor overtrædelse af diverse menneskerettigheder?

1
18. februar 2020 kl. 11:33

...