Jag kör Iphone. Så vi har det avklarat. Jag gör det av framförallt två orsaker: dels är det smidigt att hålla sig inom samma ekosystem med Ipad, Mac och så vidare, dels, och i stigande grad, av säkerhetsskäl. Iphones är förstås inte hundraprocentigt säkra; senast förra månaden uppdagades en allvarlig sårbarhet, ett så kallat jailbreak med namnet Checkm8. Och för inte länge sedan hade vi Facetime-buggen. Och så vidare. Så skit händer Iphone också, men långt ifrån lika ofta och sällan med den grad av allvarlighet som drabbar Android.
Om jag söker i IDG:s artikeldatabas på ”iphone säkerhet” får jag fram ett fåtal träffar, söker jag på ”android säkerhet” blir listan lång, skitlång. För säkerheten i Android är skit, och anledningen är solklar: Android, eller ska vi säga Google, ger apputvecklare långt fler och djupare möjligheter att komma åt funktioner i operativsystemet än vad Apple tillåter. Så enkelt är det. Ger man utvecklare sdk:er, api:er med mera som låter appar i ”user mode” pilla lite väl mycket med processer i ”kernel mode” ber man om problem. Fråga Microsoft.
Går inte att bygga en sniffer för Iphone
Det är belysande att söka på termer som ”packet sniffer” och ”packet capture” i respektive app-butik. I min Iphone får jag inte en enda träff på en app som gör det man kan förvänta sig av en sniffer som Wireshark på desktop. I Googles Play är listan så lång att jag inte orkar räkna. Varför? För att Iphone inte låter appar (user mode) komma åt nätverkslagret i operativsystemet (kernel mode) och därför går det inte att bygga en sniffer för Iphone, alternativt stoppar Apple helt enkelt den typen av appar. Varför? För att det är osäkert.
Detta ställer till lite problem för mig som undersökande journalist. Jag får ofta tips om appar med dåligt uppförande, exempelvis att de läcker personuppgifter, men jag kan inte testa själv på en Iphone. Alltså har jag en Android i jobbet, men jag har den bara till tre saker egentligen: analysera app-trafik med en paketsniffer, spela in samtal och anonymisera app-trafik genom appen Orbot. Inget av detta går att göra på en Iphone, eller i alla fall inte på samma enkla sätt. Av säkerhetsskäl.
Ett mindre problem för mig som teknik-sucker är att jag helt enkelt får försaka coola mobiler. Iphone ligger ett snäpp efter på många områden nu för tiden. Strikt tekniskt, om man studerar de tekniska specifikationerna, är de senaste mobilerna från Samsung, LG, Xiaomi med flera bättre än motsvarande Iphone, och det trots att motsvarande Iphone är bra mycket dyrare. Mitt säkerhetstänkt ger mig helt enkelt mindre ”bang for the buck”.
Jag tror heller inte att Google kommer att fixa säkerhetsproblemen. Man kan ju fråga sig varför Google inte bara gör som Apple – säkerhetsproblemen är ingen nyhet för Google – det vill säga att de stramar upp gränssnittet mellan appar och operativsystem? Problemet är att de inte kan, det skulle få nuvarande appar att sluta fungera eftersom de i mångt och mycket bygger på funktionalitet i operativsystemet som inte längre skulle existera. Alla utvecklare skulle behöva göra om sina appar. Google försöker, det ska gudarna veta, till exempel genom att tuffa till kraven på appar i Play, men det räcker inte hela vägen. Grundproblemet är detsamma.
Hur länge ska vi ta risken?
Den jobbiga frågan, som ändå bör ställas, är hur länge företag och organisationer, för att inte tala om myndigheter, kan ta risken att sätta Androidmobiler i händerna på sina medarbetare? Säkerhetsproblemen kring Android kommer ju inte bara att försvinna. Frågan blir speciellt kritisk för så kallade Very Attacked People, VAP:ar.
Dessa individer är särskilt attraktiva för angripare av olika anledningar, oftast för att de sitter på information eller befogenheter som hackarna vill åt, men det kan också vara så enkelt som att det är individer vars e-postadress är offentlig. Är det bra att sätta en Androidmobil i händerna på en VAP?
Med tanke på att Android är en attackvektor att räkna med bör organisationerna tänka till ett extra varv, och i värsta fall faktiskt stoppa användningen av Android för åtminstone särskilt utsatta individer. Jag tror inte det kommer att hända, men jag kan heller inte släppa tanken på att det kan gå runt Säpofolk med ett operativsystem i fickan som kan bli hackat vilken dag som helst.
Läs också:
”Permanent” jailbreak för Iphone upptäckt – för första gången på nio år
Ny zero-day-sårbarhet ger hackare full kontroll över Android – här är listan
