Under de senaste dagarna har det varit en hel del rapportering om hackade smarta mobiltelefoner från både tv-media och tidningsmedia. I ett nyhetsinslag som SVT nyligen sänt, demonstreras till exempel hur dessa typer av telefoner, med operativsystem som möjliggör installation av ytterligare applikationer, ser ut att vara särskilt sårbara för sms-attacker och angrepp över trådlösa nätverk. Techworld har pratat med Jonathan James, it-säkerhetsexpert på Atea, över hur oroliga vi bör vara över detta.

Jonathan James– Rent generellt är utnyttjande av eventuella sårbarheter beroende av vissa versioner av operativsystem och applikationer. En sårbarhet för en viss smart telefon behöver inte nödvändigtvis gälla någon annan modell eller utgåva, säger James.

Samtidigt finns det ändå sårbarheter som är kända sedan tidigare även för mobiltelefoner och som i vissa fall kan öppna för infektion av skadlig kod, varnar James. Fenomenet är dock inte nytt.

– Apples Iphone har till exempel en del problem i vissa äldre versioner. Till exempel kan skadliga pdf-dokument i en del fall infektera telefonen med elak kod. Men detta kräver att användaren är aktivt deltagande, till exempel genom att öppna en fil bifogad via mejl eller genom att öppna en länk och tanka hem ett skadlig pdf-dokument, som sedan körs genom att användaren öppnar det, säger James.

James har forskat kring attacker via pdf-filer som riktas mot bland annat Iphone, den telefon som utnyttjades i SVTs nyhetsinslag för att demonstrera sårbarheter. Baserat på den forskningen gissar han att demonstrationen utnyttjat flera tekniskt avancerade delmoment kopplat till just pdf-filer för att lyckas med attacken.

I sin säkerhetsblogg beskriver han också hur detta kan gå till: Angriparen inleder med en man-in-the-middle-attack som via falska adresspaket i nätverket (arp-paket) ser till att en klient, till exempel en bärbar dator, lyssnar av och modifierar trafiken mellan offrets mobiltelefon och den nätverksresurs som anropas. Vidare modifierar angriparen http-förfrågningar så att en iframe-tag injiceras i den html-sida som offret surfat till via sin webbläsare, till exempel Safari. Iframe-taggen pekar i sin tur mot ett pdf-dokument som automatiskt laddas hem i Safari och öppnas. I pdf-filen finns attackkod som är effektiv mot Iphones operativsystem upp till version 4.0.1.

"I praktiken måste flera förutsättningar uppfyllas för att en telefon ska gå att angripa"

Även om sårbarheter existerar för mobiltelefoner är James ändå kritisk mot det nyhetsinslag som SVT visat och som ger intryck av att skadliga länkar via mejl och sms automatiskt infekterar och att alla smarta telefoner skulle vara sårbara samma typ av angrepp. I praktiken måste flera förutsättningar uppfyllas. Bland annat måste användaren ha en sårbar version av en mjukvara och ett mobiloperativ. Det krävs också att denne laddar hem och öppnar den skadliga koden, alternativt surfar in på en sajt med en sårbar webbläsare.Kritiken över att mobilhack framställts som enkelt är samstämmig med Marcus Murray, it-säkerhetsexpert på Truesec, som också följt nyhetsrapporteringen.

Marcus MurrayAttacken som demonstrerades på nyhetsinslaget var sannolikt baserad på samma sårbarheter som används för att jailbreaka telefonen, men att man bytt ut payloaden från att utföra jailbreak till att installera en trojan.

Detta i sin tur användes för att demonstrera sårbarheter, men den egentliga attacken är att få användare att surfa in på en sajt som förberetts med attackkod, och att den mjukvara som angrips också har vissa specifika sårbarheter. Den biten är inte så vanlig på mobilsidan ännu och kräver ofta goda tekniska kunskaper från angriparens sida för att utnyttjas. Man ska inte tro att vem som helst kan hacka vilken mobil som helst, säger Murray.

"Man ska inte tro att vem
som helst kan hacka
vilken mobil som helst"

Termen jailbreak syftar på en modifiering i operativet hos smarta mobiltelefoner ,där den kontrollfunktion som styr installationsrättigheter för applikationer satts ur spel. Apples applikationstjänst Appstore begränsar till exempel vilka applikationer som är godkända för nedladdning och installation på Iphone-telefoner. Via jailbreak är det möjligt att kringgå denna kontrollfunktion och installera tredjepartsapplikationer som inte godkänts av tillverkaren, vilket öppnar för trojaner och andra former av skadlig kod. Även för operativet Android finns det en liknande tjänst, men den är inte lika strikt i sina kontrollrutiner, upplyser Murray.

Utöver falska meddelanden med länkar och dokument via sms och mejl, varnas det även för nätsurfande via publika trådlösa nätverk (hotspots). Den typen av anslutningar kan vara sårbara för just de man-in-the-middle-attacker som både James och Murray varnar för, där en angripare förbindelsemässigt placerar sig mellan en användares mobiltelefon och de nätverksstjänster som anropas. Också i det fallet är James kritiskt till hur det hela förenklats.

– Det krävs flera tekniska förutsättningar. Angriparen måste till att börja med befinna sig på samma nät som offret och skicka falska adresspaket (arp) för att placera sig emellan klientmobilen och den slutdestination som anropas. Detta för att kunna utge sig för att vara någon annan i nätverket. Enbart den del delen kräver tekniskt kunniga angripare redan från grunden, säger James

Däremot rekommenderas inte att surfa okrypterat. Det kan avlyssnas av tredjepart och öppna för infångande av känslig information.

– Säkerhetsrisken med att surfa okrypterat bör man mycket riktigt ta på allvar. Men den risken gäller alla klienter som kommunicerar okrypterat via trådlösa nät och är inte specifik för smarta mobiltelefoner såsom det framställts i media, förklarar Murray.

Säkra verksamhetens mobiler
Även om riskerna med angrepp mot smarta telefoner inte nödvändigtvis är fullt så allvarliga eller omfattande som vissa rapporter givit sken av, finns det ändå vissa säkerhetsmässiga åtgärder som kan hjälpa en it-ansvarig att säkra verksamhetens mobilanvändning.

– Ett bra tips är att titta igenom säkerhetsinställningarna för de telefoner som utnyttjas. Windows Mobile har till exempel flera inställningar som kan anpassas för bättre säkerhet. Det är också viktigt att hålla operativsystem och applikationer uppdaterade, då nya versioner ofta tillkommer i syfte att täppa till säkerhetsluckor, säger James.

Utöver en policy för uppdateringar och genomgång av säkerhetsinställningar, som även Murray rekommenderar, är det också viktigt att inte tillåta användning av telefoner som hackats med jailbreak.

– Att inte tillåta jailbreak för verksamhetens telefoner är jätteviktigt. När tillverkare som till exempel Apple upprättar sina kontrollsystem för godkända applikationer via Appstore, så är det av en anledning. Det är ett sätt att hjälpa slutanvändaren och säkra att telefonen inte utgör en säkerhetsrisk för intrång eller missbruk. En jailbreakad telefon öppnar för smyginstallation av skadlig kod, varnar Murray.

Att använda antivirus för mobiltelefoner kan också vara en god idé, även om de två experter som Techworld pratat med oberoende av varandra också uppmanar till försiktighet. Det är lätt att ha en övertro på dessa säkerhetsprogram, som i praktiken inte skyddar mot alla former av skadlig kod.

Grundförutsättningen för att säkra smarta mobiler är en strikt policy över regelbundna uppdateringar, användning av krypterade anslutningar och att inte hacka telefonen (jailbreak).

Det här är en artikel från TechWorld
Läs fler artiklar om säherhet hos oss.