Per Hellqvist om IT-säkerhet och sånt

Dagens smarta mobiler har blivit hubben i våra digitala liv. Och fastän de är säkrare än en PC, ökar hoten mot dem. Vi blir alltmer digitala och använder smarta mobila enheter till allt möjligt, i jobbet och privat. Vi lagrar allt mer känslig information på dem och både företag och privatpersoner behöver bli medvetna om hur säkerhetsläget på dem ser ut.

Nyligen släppte Symantec rapporten ”A Window Into Mobile Device Security”. Där tittade vi närmare på säkerheten i de två största mobila plattformarna – Googles Android och iOS från Apple. Syftet var att förklara säkerhetstänket i plattformarna och därmed hjälpa dig att skydda din och ditt företags nyckeltillgång – informationen.

Säkerheten i mobiltelefoner bygger lite grovt på fyra pelare:

Har man byggt upp dessa fyra pelare på rätt sätt har man bra kontroll på säkerheten i mobilen.

För det första bör man känna till är var en app kommer ifrån. Är utgivaren känd är risken för elak kod mindre. Här glänser iOS som har en tuff och utdragen process för att ge ut en app, men man vet vem som är utgivare. Om mobilen inte jailbreakats förstås, då försvinner skyddet. I Android är det tvärtom. Där kan vem som helst ge ut en app bara den är signerad och du kan installera appar från vilken sajt som helst. Det är till och med tillåtet att utfärda och signera sina egna anonyma certifikat?! Det är som om man skulle få ge ut sitt egna ID-kort! Elakingar kan alltså ladda ned ”äkta” appar, dölja trojaner i dem, signera om dem med ett hemgjort anonymt certifikat och sen göra dem tillgängliga igen. Vi har redan sett det ske i rätt stor omfattning.

För det andra är det största hotet mot mobilen idag inte elak kod eller hackare. Det är stöld och förlust . En av tjugo mobiler tappas bort eller stjäls under ett år. Bortser man från försäkringsbedrägerier och att förlusterna av mobiltelefoner ökar när en ny modell släpps så försvinner ändå väldigt många enheter varje år.

För det tredje lagras företagskänslig information på oskyddade enheter. Då behövs kryptering. Har en elaking fysisk tillgång till din mobil är det bara det som hjälper. I iOS finns det en relativt genomgående kryptering, men nyckeln hårdkodas på enheten och det gör att man kommer åt det mesta av informationen efter en enkel jailbreak. I Android finns ingen nämnvärd kryptering och tillverkaren av en app kan välja att använda Javas krypterings-API för att dölja sina egna data. Eller inte. Med andra ord ingen heltäckande lösning. Här finns det helt klart utrymme för förbättring.

För det fjärde behöver man begränsa vad en app kan göra och komma åt. Isolering (sk sandboxing) och sk tillståndsbaserad åtkomstkontroll handlar om just detta. Begränsar man appen, begränsar man även elaka appars möjligheter att ställa till med skada och stjäla känslig information. Här ligger iOS hyggligt till, men räcker inte hela vägen. Appar hindras från att komma åt viss typ av känslig data, de kan t ex inte skicka e-post eller SMS. Däremot kommer appar fortfarande åt IMEI-nummer, foton, kontakter, kalendern, mikrofonen, videokameran etc. Gott om utrymme att ställa till med bekymmer med andra ord. Vid första anblick är Androids isoleringspolicy striktare än iOS. Men inte många appar bryr sig om den. I Android kan apparna be användaren om utökade rättigheter. Användaren, om denne ens läser och försöker förstå, ombeds ta ställning till om en app bör ha utökade rättigheter eller också kan man inte installera appen. Som upplagt för att användaren själv ska sänka säkerheten alltså.

Mobilerna är fantastiska redskap som underlättar vår vardag och utvecklingen går med raketfart. För att kunna utnyttja dem tryggt blir säkerhetsmedvetandet avgörande. För privatpersoner och för företag.

Läs gärna rapporten för en mer detaljerad genomgång av de två plattformarna.

Du finner den här: http://bit.ly/iMtBv0

Taggar: Android, Intressant, iPhone, Kryptering, Läsvärt, Mobiltelefoner, Trojaner

Kommentarer

En kommentar to “Om säkerhet i mobiler”

  1. Om barn på internet, elak kod i mobiler, bovar och bedragare. | Säkerhet & Sånt on December 13th, 2011 10:16

    […] Om säkerhet i mobiler […]

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.