Hjem | Presse | Kontakt da en
Heimdal

Nyheder
2014-04-09 12:11:09 | Peter Kruse
2014-04-08 13:22:27 | Peter Kruse
2014-04-08 10:02:44 | Peter Kruse
Pressekontakt

Peter Kruse
Partner & Security Specialist
pkr@csis.dk
PGP Key ID: 0x49006F37

Blog
2011-08-15 13:27:20 | Jan Kaastrup

Ekstra Bladet kontaktede CSIS i starten af august, da de ønskede at lave en historie om sikkerhed på smartphones. I den forbindelse hjalp vi med at illustrere nogle af de sikkerhedsproblemstillinger, vi som IT-sikkerhedsfirma vurderer som potentielt kritiske for privatpersoner såvel som firmaer, når man anvender smartphones.

Formålet med artiklen var overordnet at belyse:

  1. de potentielle sikkerhedsfarer der findes, hvis ens smartphone skulle blive inficeret med malware
  2. faren ved at smartphones ofte benyttes på åbne trådløse netværk i lufthavne, på hoteller og caféer

I den anledning ønskede Ekstra Bladet at inddrage en kendt person, hvilket for CSIS har været ganske underordnet. CSIS har på intet tidspunkt ønsket at udstille hverken enkeltpersoner eller firmaer. CSIS har udelukkende ønsket at kaste lys over de "yderligere" sikkerhedsproblemstillinger som en smartphone introducerer hos private såvel som virksomheder.

De potentielle sikkerhedstrusler hvis din smartphone skulle blive inficeret med malware

Vi installerede et spyware program på telefonen ved navn Flexispy, der havde til formål at illustrere, hvad en virus kan gøre ved en smartphone. Dette er aktuelt, fordi en smartphone giver mulighed for total aflytning af en person. Lige fra GPS signaler, skjult mikrofon, aflytning af telefonsamtaler m.m. Vi kunne i den forbindelse konstatere, at den telefon Magrethe Vestager havde medbragt, havde en kendt sårbarhed, som kan udnyttes i forbindelse med klassiske drive-by angreb, såfremt man surfer på en inficeret hjemmeside. Dette blev vist af Eric Monti tidligere i år. Kilde: http://threatpost.com/en_us/blogs/iphone-jailbreak-tool-sets-stage-mobile-malware-102310

Faren ved at benytte smartphones  på åbne trådløse netværk i lufthavne, på hoteller og caféer

En del på Ekstra Bladets blog mener, at det er søgt, at vi beskriver denne trussel, idet der jo intet nyt er i det. Samme risiko gør sig gældende ved computere. Dette er til dels også korrekt, men CSIS vurderer, at smartphones udgør en større risiko for eksponering af personfølsomme data fordi:

  1. Seneste sårbarhed i iOS gør det muligt at foretage MiTM angreb på SSL forbindelser uden brugeren bliver advaret. Dette skyldes en fejl i den måde iOS verificerer SSL certikatet: https://www.trustwave.com/spiderlabs/advisories/TWSL2011-007.txt. Tjek selv følgende side fra en sårbar og ikke sårbar smartphone: http://ssltest.spiderlabs.com
  2. De mange tusindvis af apps der findes giver ikke brugerne mulighed for at vide, hvad der sendes i klartekst over nettet. Igennem de seneste ca. fem år, er brugerne blevet opdraget med at holde øje med hængelåsen i browseren. Men denne er med et trylleslag forsvundet ved introduktion af smartphone apps og efterlader brugerne uvidende, og de må blot stole på, at udviklerne har gjort deres arbejde godt nok. Eksempelvis sendte en Twitter applikation tidligere på året login oplysninger i klartekst http://blog.taddong.com/2011/02/vulnerability-in-htc-peep-twitter.html. Ligeledes kunne brugernes brugeroplysninger blive eksponeret fra Facebook applikationen, hvis de oprettede dig som ny bruger.
  3. Det er CSIS' overbevisning, at der er langt flere smartphones, som automatisk tilkobler sig åbne trådløse netværk rundt omkring. Ligeledes er 3g/4g netværket blevet anvendt til MiTM angreb. Senest skete det på DefCon: http://seclists.org/fulldisclosure/2011/Aug/76
  4. Vi ser et stigende antal virksomheder, der åbner op for adgang til at tjekke e-mail fra deres smartphones - blot ved brug af brugernavn og kodeord. Dette er typisk en væsentlig forringelse af virksomhedens sikkerhedsniveau, da det normalt tidligere krævede, at man var logget på firmaets VPN forbindelse først. Ligeledes sender de fleste standard mail apps brugernavn og kodeord over almindelige SSL og kan derved kompromitteres ved simple MiTM teknikker.

Hvis du har spørgsmål til ovenstående, de anvendte metoder el. lign. er du til enhver tid velkommen til at skrive en mail til info@csis.dk, som vi selvfølgelig vil svare på hurtigst muligt.