2009 är mobilvirusens år. Åtminstone om man ska tro några av världens ledande säkerhetsexperter på området. Enligt dem kommer vi i år att på allvar få se våra bärbara kommunikationscentraler nerlusade med allvarligt sinnade trojaner och annan skadlig kod.

Kapersky Lab rapporterade under vintern om en trojan till det mobila operativsystemet Symbian, som spridits i Indonesien. Det skickar sms till ett betalnummer. Drabbade användare blir av med mindre summor pengar, ungefär två till åtta kronor åt gången. Det är inget som sätter användarna på ruinens brant, men om tillräckligt många telefoner drabbas kan skaparen tjäna en rejäl hacka.

Det här är ett av de första försöken till att aktivt attackera mobiltelefoner för att tjäna pengar på dem, med undantag för Ryssland där flera fall har dykt upp tidigare, men det är antagligen långt ifrån det sista.

– Vi har på senare tid sett en trend mot att grupper i Asien, framför allt i Kina, har börjar rikta in sig på att skriva skadlig kod för mobila enheter, säger Ronald Binnerstedt på Kaspersky Lab.

Tre saker är viktiga att tänka på när man pratar om mobilvirus – tre punkter på vilka ett virus eller en trojan i en mobil eller i en smart telefon skiljer sig från det i en pc. Det första är att mobilnumret, det som identifierar din telefon, är unikt per användare och maskin.
Det gör att en attack mot en mobil har möjlighet att riktas mot en specifik person på ett sätt som inte är möjligt med datorer, vars identifierande ip-adresser inte alls är lika självklart kopplade till speciella datorer. Datorerna är inte heller i sin tur nödvändigtvis kopplade till specifika personer. Vill du attackera en person via dennes mobil är personens telefonnummer ofta öppet tillgängligt.

Nära till pengarna


Den andra punkten handlar om att en mobil är direkt kopplad till ett konto med pengar, antingen ett telefonabonnemang eller samtalspotten i ett kontantkorts-sim. Är det något som fungerar som drivkraft för virusutvecklare så är det just pengar. Det här är dessutom pengar som är relativt lätta att komma åt eftersom mobilkontot kan användas för direkt betalning, antingen via högkostnads-sms eller via betalnummer med hög minuttaxa.

– Under det senaste året har vi sett hur hackare har testat ekonomin i att inrikta sig på mobiltelefoni. Man ringer en signal och ser om folk ringer tillbaka, eller skickar ett sms från ett för mottagaren okänt nummer och ser om folk svarar på det. Det enda som krävs är en sådan respons för att hackaren, eller i det här fallet spammaren, ska kunna tjäna pengar på dig. Numret du ringer eller skickar sms till är kopplat till en betaltjänst. Spammaren tjänar en snabb hacka, och du märker ingenting förrän nästa mobilräkning kommer, säger Mats Aronsson som är senior business development manager på Symantec.

Phishing av det här slaget är inte lika direkt i pc-världen. Där måste man lura användaren att själv lämna ifrån sig till exempel kontokortsuppgifter. Motsvarigheten vore att svara på ett e-postmeddelande. Det är i och för sig en metod som används men då handlar det om att samla på sig aktiva e-postadresser för att försöka sälja till spammare, vilket är mindre direkt och ger mycket mindre pengar per svar.

Virus är mest på test – än så länge


Mats Aronsson menar att det här antyder att en större hotbild för mer avancerade sätt att komma åt mobilkontots pengar är på väg. I dagsläget finns det inga aktiva mobilvirus som sprids i stor skala och som gör just det här, men det har skrivits en handfull konceptvirus i form av trojaner till det smarta telefon-operativet Symbian OS. Det är hackare som testar farvattnen för att se vad operativsystemen tål, och hur det går att sprida viruskod vidare från telefon till telefon.

Den tredje viktiga punkten på mobilsidan är att mobilen inte längre är en sluten maskin som gör en avgränsad sak, utan en allt mer komplex och flexibel plattform. En plattform som användaren har ett ganska intimt förhållande med. Det är just här när det gäller smarta telefoner som risken för framtida attacker är som störst.

– Vi kallar det för att mobilen är en lifestyle device. Den kan göra en mängd saker, du kan anpassa den efter eget tycke och smak, den är alltid påslagen och du bär den med dig överallt. Du kan spela in dig själv, ta foton, spela in filmklipp, spela upp musik och film och mycket mer. Många användare går över till att ha mobilen som primär enhet. De inte bara ringer och skickar sms på den, utan använder den även för att skicka e-post, surfa, im-chatta och delta i sociala nätverkssajter som Facebook, säger Mats Aronsson.

Telefonen blir dator


Den här nya sortens beteende leder till en ökad acceptans för att behandla telefonen som en pc i miniatyr, och börja installera egna program på den. Kör du till exempel Live Messenger på jobbet vill du kunna ta det med dig i fickan. Här finns också ett konstant växande utbud av nytto- och nöjesprogram till de stora mobila operativsystemen.

Användare har länge varit försiktiga med det här, men på senare tid har det skett ett visst trendbrott. Nya generationer av mobilanvändare ser på enheten på ett annat sätt än tidigare.

Det här är virusmakarnas främsta attackväg. Program smittade med trojaner och rena program med skadlig kod som manuellt installeras och aktiveras är mycket svåra att värja sig emot, och väl på plats finns det mycket de kan ställa till med. Det är också den egentligen enda chansen för skadlig kod att infektera din mobil.

– De mobila operativsystemen är relativt välbyggda. Dels är de av förståeliga skäl små, dels är de i grunden väl genomtänkta. Därför finns det inte många sätt att få telefonen infekterad utan din egen aktiva medverkan. Även om ett virus skulle spridas via wifi eller bluetooth måste varje operation initieras av användaren, säger Mats Aronsson.

Många plattformar ger bra säkerhet


Det är en större variation av operativsystem när det gäller mobiler jämfört med pc. Windows Mobile, Symbian, Blackberry och Iphone är de största plattformarna, men de tävlar om uppmärksamheten med en uppsjö operativsystem för mindre mobiler där programmen ofta är specialskrivna från modell till modell. Ett enskilt program har därmed en mycket mindre spridningsyta än på pc-sidan.

– Det krävs en hel del traditionell programmeringskompetens för att skriva skadlig kod till de mobila plattformarna. Det behövs inte bara olika kod för Symbian och Windows Mobile, utan också för varje Symbianversion. Det tar tid och kostar pengar, och varje skadlig kod kan bara spridas på sin begränsade plattform. På senare tid har virusscenen varit klart ekonomiskt styrd, och det är svårt att få investeringen att betala sig i de här operationerna, säger Ronald Binnerstedt.

Trots att andelen smarta telefoner ökar ser branschen ingen större trend mot att konsolidera operativsystemsfloran. Snarare ser man det motsatta med nya konkurrerande plattformar även för smarta telefoner, som Googles Android och Apples Iphone OS.

En annan orsak till att mobilvirus än så länge är en begränsad företeelse är att hackaren behöver en viss infrastruktur för att kunna utnyttja dem till något praktiskt, det vill säga tjäna pengar på dem. Drivkraften är pengar, och i mobilvärlden innebär det att man måste satsa pengar för att kunna tjäna pengar. Man behöver investera i en betaltjänst som man sedan får användare att ringa upp. Dessutom måste man investera pengar i att få ut den infekterade koden eller det phishande sms:et till sitt potentiella offer. E-post är i det närmaste gratis, men sms kostar en slant.

Sms-kostnaden räddar Sverige från spam


I Sverige är vi än så länge skonade från en plåga som är vardagsmat i exempelvis USA, Asien och flera länder i Europa – mass-sms. Redan 2005 rapporterade amerikanska Wireless Services Corporation att 43 procent av alla sms-meddelanden på USA:s mobilnätverk är spam.

Där är fast kostnad för tjänsten sms mycket vanligare än på den nordiska marknaden, och därmed kan spammare göra massutskick på ett helt annat sätt än här. Det kan lätt utnyttjas just för phishing-bluffar, och kanske mer oroande – som ett verktyg för hackare att kommunicera med en trojaninfekterad mobil.

– Sms är värt ett eget kapitel. Det är särskilt riskabelt eftersom det går med automatik. Ett mejl måste du hämta från servern och ett samtal måste du manuellt svara på, men ett sms kommer in i mobilen vare sig du vill eller inte, säger Mats Aronsson.

Det behöver inte vara ett läsbart textmeddelande, utan det blir allt vanligare med olika typer av binära sms. Finns det då program i mobilen som läser och tolkar dessa sms kan instruktioner skickas till det programmet utan att användaren märker det.

Telefoner med device management-funktioner implementerade fungerar på det här sättet. Det är en bakgrundstjänst i mobilen som väntar på sms av ett visst format från en viss sändare. Den som skickar det kan styra funktioner i telefonen, till exempel att uppdatera adressboken, få telefonen att skicka över samtalsloggen för de senaste dagarna eller fjärrlåsa telefonen och formatera minneskortet om man skulle tappa bort den.

Om ett illasinnat sådant program har kommit in via skadlig kod eller via en trojan kan en hackare med andra ord styra telefonen på distans. Det mest uppenbara sättet att utnyttja det vore att låta telefonen skicka dyra sms och ringa upp betalnummer. Då har offret ingen aning om vad som händer förrän det kommer en skyhög teleräkning i slutet av månaden, eller när kontantkortets samtalspott sinar.

Microsoft: "Följ den reella hotbilden"

Peter Wissinger på Microsoft säger att de är bra förberedda på eventuella virushot, och varnar för att oroa sig för mycket och översäkra sina mobila enheter.

Ju större man blir desto större blir risken att utsättas för attacker från tillverkarna av skadlig kod. De illvilliga programmen behöver plattformar med en viss spridning för att det ska bli ekonomi i att skriva kod till dem och försöka få den distribuerad. Därför är Windows Mobile en av de plattformar som är allra mest i fokus.

De flesta tillverkare av smarta telefoner har valt Microsofts mobila operativsystem som plattform för flera av sina mer avancerade mobiler, bland annat HTC, Samsung, Motorola och senast Sony Ericsson. På Microsoft är man dock inte så oroliga för att virus ska bli en stor epidemi på plattformen.

– Vi tycker att vi har det bra ställt med de här frågorna från vårt perspektiv. Därmed är det inte sagt att man inte ska ta det på allvar, säger Peter Wissinger som är mobilitetsexpert på Microsoft.

Han menar att Microsoft har haft en fördel av att vara dominant på pc-operativ och därmed blivit utsatt för virustillverkares kreativitet i ett par decenniers tid.

– Vi har gjort en jätteresa på pc-sidan, där vi har lärt oss en hel del. När vi började bygga vårt mobila operativsystem var arbetet med trustworthy computing redan påbörjat där, och hela det tänket fanns med från grunden på den mobila plattformen. Det innebär att säkerhet har varit mycket högt prioriterat när vi byggt det som i dag är Windows Mobile. Ett kvitto på det är att trots att det har sålts rätt många miljoner telefoner så har vi varit relativt förskonade från problem, säger Peter Wissinger.

En del av det här tillskriver han ett aktivt arbete med att certifiera tredjepartsutvecklade program. Det finns i dag över 20 000 program till Windows Mobile, som ska vara certifierade och säkra att installera. Microsoft jobbar också, liksom så många andra, med att bygga upp en säker distributionskanal där alla program är kontrollerade och certifierade en gång till.

– Där har man dels en förenklad köpprocess, dels ytterligare en garanti för att programmen man installerar är säkra.

I stället för att varna för de potentiella farorna med teoretiska mobilvirus vill han mana till lugn, och att det gäller att inte bli för övernitisk med att skydda mobilerna mot hot.

– Framför allt på företagssidan går det ofta lite för långt. Tynger man ner telefonerna med för mycket program som ska syfta till att skydda går det ut över användbarheten och får motsatt effekt: användare som manuellt går runt skydd eller helt enkelt inte använder den säkrade mobilen. Då har en stor investering gjorts till ingen nytta. Investeringar bör följa den reella hotbilden, vilket inte alltid sker.

I slutänden är det dock inte tekniska lösningar som är det viktigaste, utan det är den mänskliga faktorn som är den största faran.

– Även de virus som dykt upp, främst på Symbian, handlar om att en användare måste tacka ja till saker manuellt. På Windows Mobile gäller detsamma som standard även för sms. Det har pågått en hel del debatt tidigare om så kallade silent sms. Det är som standard stängt för sådana i Windows Mobile, om inte en terminaltillverkare väljer att öppna upp för det. Vi bygger plattformen så säker som möjligt, men sedan är det upp till mobiltillverkarna om de vill välja att plocka bort de säkerhetslås som finns.

Spionkamera på fickan


Det finns en annan risk, som kan ha större konsekvenser än bara ekonomiska. Din mobil innehåller en hel del information som du kanske inte vill dela med dig av till andra. Mobilen innehåller också perfekta verktyg för att spionera på dig, en mikrofon och en kamera som du bär omkring på dagarna i ända. För den som vet hur telefonen fungerar är det en smal sak att till exempel aktivera kameran och ta en bild, eller att spela in ett samtal.

– Det är faktiskt lättare att komma åt röstsamtal och kamerafunktionen än det är att komma åt textmeddelanden i de flesta telefoner. Api:erna mot ljud och bild är mindre restriktiva än de mot e-post och sms, säger Mats Aronsson.

Ett program för det skulle kunna vara rent industrispionage. En del företag stänger till exempel av kameran på de anställdas företagsmobiler om de jobbar på en avdelning med företagshemligheter. Samma funktion som device management, dm, använder kan användas av en trojan för att överrida dm och i stället exempelvis ta en bild i minuten och skicka till en mottagare över den mobila internetuppkopplingen. Eller så kan telefonen spela in vad som sägs på ett möte.

Sms-översvämning stör näten


Infekterade mobiler kan också ställa till med mer allmänt riskabla problem. Det finns en viss svaghet i dagens mobiltelesystem som gör att felaktigt kodade sms kan fastna i systemet och skickas från basstation till basstation. Skulle väldigt många telefoner samtidigt översvämma (flooda) systemet med sms kan det störa ut nätet eller delar av nätet, inklusive vanlig rösttrafik. Även om det här bara handlar om korta tidsperioder åt gången innan problemet kan åtgärdas.

Ett fungerande mobilnät kan i dag närmast ses som en samhällstjänst, något som bara ska fungera. Kan du helt plötsligt inte ringa 112 i en krissituation kan konsekvenserna bli allvarliga. Mobilnäten ska ha överkapacitet för att sådant inte ska kunna hända.

Ett problem som både mobiltillverkare, säkerhetsföretag och operatörer har att tackla är användarnas bild av var ansvaret för säkerheten ligger. Operatörerna har länge propagerat för att telefoni inte är en produkt, utan att mobiltelefonen endast är den fysiska förlängningen av deras mobilteletjänster. Användarna i sin tur lägger i stor utsträckning säkerhetsansvaret på operatören. Trots att man allt oftare installerar program på mobilerna är det mycket få som tittar på virusskydd och andra säkerhetsprogram.

Säkerhet ställs mot integritet


Operatören har inte laglig rätt att göra vad som helst för att hindra skadlig kod från att nå mobilerna. För en fullgod övervakning skulle man då behöva skanna alla mejl, alla sms och allt som laddas ner till mobilen, och då krockar säkerhetsintressen med den personliga integriteten.

– Det är något som vi jobbar mycket med just nu. Vi vill ge operatörerna möjlighet att lagligt kontrollera trafiken. Inte genom att skanna allt innehåll, utan genom automatiska funktioner som övervakar mobilernas beteenden och flaggar när de ser vad som skulle kunna vara effekten av en misstänkt infektion. När det händer kan användaren bli varnad om att han kanske har fått ett virus, och han kan sedan själv välja att ge operatören tillåtelse att åtgärda det, säger Mats Aronsson.

Mobiltillverkare och operatörer jobbar även mycket med att erbjuda bra distributionskanaler för program till mobilerna. Kanaler som de själva kan kontrollera och se till att allt som laddas ner är rent. Det handlar mycket om att göra de här programkatalogerna extremt tillgängliga för användaren, och att se till att utbudet av program är så brett och komplett att användare aldrig behöver se sig om efter externa nerladdningar. Då vägarna in i telefonerna är få för skadlig kod är det ett mycket effektivt sätt att täppa till.

Fakta

Här är fem vanligt förekommande påståenden – och hur det verkligen ligger till!

Det är bara Symbian som drabbas.
FALSKT.
Även om den mesta skadliga koden har dykt upp i Symbian i smarta telefoner är Symbian långt ifrån den enda mobila plattformen. Det finns mycket skadlig kod skriven även för Java 2 Platform, Micro Edition (J2ME) som fungerar med fler mobiler, och för skriptspråket Python, som det finns tolkar till på flera plattformar.

Virus skrivs av cybervandaler som vill ställa till maximal skada.
FALSKT.
De allra flesta försök att skapa och sprida skadlig kod i dag görs för att tjäna pengar. Samma intressen som ligger bakom phishingförsök via e-post ligger också bakom trojaner. Det man vill är att komma åt värdefulla uppgifter, i mobilens fall vill man komma åt abonnemangskontot.

Mobilvirus sprids via bluetooth.
SANT.
Några av de mest uppmärksammade trojanerna och maskarna försöker hitta andra enheter i närheten som de kan kopiera sig till via bluetooth. Det är dock mycket som måste stämma för att det ska fungera: en telefon inom räckhåll med samma operativsystem, öppen bluetoothmottagning, och inte minst en användare som obekymrat tackar ja till okända anrop. Spridningen är därför än så länge minimal.

Webbsidehack på datorn attackerar även mobila webbläsare.
FALSKT.
Du behöver inte extra virusskydd om du surfar på mobilen. Ett hack på en webbsida måste utnyttja ett specifikt säkerhetshål i det specifika program som visar den. Däremot kan det givetvis skrivas speciella hack för enskilda mobila webbläsare. Bland annat har Iphones Safari och webbläsaren i Android drabbats av sårbarheter som i och för sig inte hackar sig in i enheten, men som kraschar webbläsaren.

Bekymra dig inte i onödan.
SANT.
Mobil skadlig kod är ett relativt litet hot, och en försiktig policy när det gäller att installera program och acceptera externa anrop räcker långt. Låt inte virusspöket dra uppmärksamheten från de stora säkerhetshoten: informationsläckage på grund av den mänskliga faktorn, samt skadlig kod i Windows.



  • Cell phone virus threats why they shouldn't be dismissed. Mobilitetsskribenten Christopher Elliott skriver på Microsoft Small Business Center att man inte ska avfärda hotet från mobilvirus bara för att risken att drabbas är liten.
  • Cell phone virus author arrested Myndigheterna tar mobilvirus på allvar. En man i Spanien spred maskarna Cabir och Commwarrior till 115 000 telefoner, och fick lagens långa arm efter sig.