Mobilen – nästa säkerhetsarena

För många är it-säkerhetstänk synonymt med datorn på jobbet eller hemma. Att antivirus på datorn är en bra idé, det vet de allra flesta, likaså att man bör vara noga med att installera säkerhetsuppdateringar från Microsoft (om du kör Windows) och Apple (om du kör Mac). Men idag är det långt ifrån hela sanningen. För det är inte längre datorerna på jobbet och i hemmet som är våra huvudsakliga kontaktpunkter med nätet – utan mobiltelefonerna i våra fickor.

Världen över såldes 1,75 miljarder mobiltelefoner år 2012, enligt siffror från analysföretaget Gartner. Det är nästan fem gånger så många som den totala försäljningen av pc-datorer under samma år. I Sverige var mer än 70 procent av alla mobiltelefoner som såldes det året så kallade smarta telefoner, det vill säga telefoner som kan användas till betydligt mer än bara ringa med: Surfa på nätet, skicka epost och göra bankärenden, till exempel.

Med det i åtanke är det inte så konstigt att de som är intresserade av att komma över känslig information i allt högre grad vänt sin uppmärksamhet mot telefonerna i våra händer. Kort sagt: För den som vill skydda sig från angripare är det idag minst lika viktigt att hålla koll på sin mobiltelefon som på datorn i hemmet eller på jobbet.

Så ser hoten ut

I grunden är metoderna som används för att komma över känslig information i en mobiltelefon, eller ta kontroll över den, de samma som i datorvärlden. Trojaner och andra former av skadlig kod är sedan ett par år tillbaka vanligt förekommande även i mobilvärlden. Däremot sprider angriparna sina verktyg på ett lite annorlunda vis. Dessutom är programmens funktioner ofta unikt anpassade för just mobiltelefoner.

I särklass vanligast är att skadlig kod sprids via mobiltelefonens programbutik (Google Play för dig som använder en Androidtelefon, App Store för dig som kör Iphone). Precis som med trojaner för datorer handlar det om att skadliga program “göms” i andra, till synes helt ofarliga applikationer. I fjol upptäcktes till exempel att Iphone-appen “Find and call” i själva verket var en listigt maskerad trojan. Den kopierade de telefonnummer som fanns lagrade i användarnas telefoner och började sen skicka ut mängder med oönskad SMS-reklam till dem. Samma år upptäcktes flera fall av trojaner insmugna i Android-appar. Alla var utformade för samma syfte: När de väl hade installerats började de automatiskt skicka ut sms till dyra betalnummer, kontrollerade av angriparen. Användaren märkte ingenting förrän nästa telefonräkning landade i brevlådan. Då hade trojanens skapare redan haft god tid på sig att plocka ut de insamlade pengarna.

Det finns andra, betydligt mer oroväckande exempel. I vintras avslöjades hur en trojan utformad för Androidtelefoner användes för att stjäla mer än 300 000 kronor från sammanlagt 30 000 bankkunder i Spanien, Italien och Tyskland. Trojanen smögs in på telefonerna via SMS från angriparen, som innehöll en länk till en påstådd säkerhetsuppdatering. Väl på plats tog den kontroll över det SMS-baserade inloggningssystem som bankerna använde sig av. På så vis kunde stora summor pengar smygas ut från kontona utan att telefonernas ägare märkte någonting.

Viktigt!

Lösenordsskydda din mobil!

Det är lätt att glömma hur mycket intressant information som finns att hämta i din mobiltelefon. De flesta av oss använder dem både som kalender, för att skicka e-post och för sociala nätverk som Facebook och Twitter. I adressboken finns dessutom namn, telefonnummer och kanske ännu mer information om dina arbetskamrater, vänner och bekanta. En angripare som får tag på din mobiltelefon kan alltså komma åt både din mejlkorg, din kalender och din korrespondens med alla du känner.

För att förhindra det är det första du bör göra att lösenordsskydda din mobiltelefon. En fyrsiffrig kod räcker i de allra flesta fall gott och väl. Även om den inte på något vis är oknäckbar så ger den dig åtminstone tid att ändra alla relevanta lösenord (till exempel till ditt e-postkonto) om telefonen hamnar i orätta händer, och innan angriparen tagit sig in i den.

Olika plattformar, olika risker

Två faktorer avgör vilken mobilplattform som blir mest utsatt för skadlig kod och andra säkerhetsrisker. Den första är antalet användare, den andra rör operativsystemens inbyggda säkerhetsmekanismer. I datorvärlden har Windows länge varit mer utsatt för skadlig kod än andra, konkurrerande operativsystem. Det beror dels på att den absoluta majoriteten av alla persondatorer i världen kör just Windows, dels på att där finns många potentiella sårbarheter och säkerhetshål för en angripare att utnyttja.

Enligt McAfee, ett av många säkerhetsföretag som följer utvecklingen av trojaner och virus, var 97 procent av all skadlig kod för mobiltelefoner som upptäcktes under 2012 skapad för operativsystemet Android. Ett par enstaka procent var för den äldre plattformen Symbian, som bland annat används i Nokias äldre telefonmodeller. Bara en bråkdel av den skadliga koden som upptäcktes var utvecklad för övriga operativsystem, som IOS och Windows Phone.
Men oavsett vilken plattform du använder är det klart att hoten blir allt fler. Faktum är att mängden skadlig kod som utvecklas för smarta telefoner formligen exploderat den senaste tiden. År 2011 upptäckte McAfee 792 former av skadlig kod utvecklad för mobiler. I början av 2013 hade siffran växt till över 36 000, en fyrtiofaldig ökning under bara drygt tolv månader.

androidplattformar
De flesta av de virus som angriper mobiltelefoner finns på Androidplattformen.

Så skyddar du dig

Uppdatera, uppdatera, uppdatera

Alla de stora mobiltillverkarna trycker regelbundet ut uppdateringar till sina operativsystem. För att hålla din telefon säker är det viktigt att du hänger med och installerar dem så fort de blir tillgängliga. Förutom att lägga till nya funktioner så täpper de nämligen till nyupptäckta säkerhetshål. Till exempel så stängde en uppdatering från Apple i december 2012 ett hål som utnyttjades av SMS-trojaner likt den som finns beskriven ovan. Den som installerade uppdateringen blev med andra ord immun mot den. De som inte gjorde det fortsatte vara potentiella offer för angriparen.

Att installera säkerhetsuppdateringar är i de allra flesta fall mycket enkelt. Android, IOS och Windows Phone har alla stöd för så kallade “over the air”-uppdateringar, vilket innebär att hela processen sköts över telefonnätet. Din telefon påminner dig när en ny uppdatering finns tillgänglig, allt du behöver göra är att godkänna installationen och sen vänta på att telefonen gör jobbet. Äldre modeller kan i vissa fall behöva anslutas till en dator – mer information om detta hittar du på din mobiltillverkares webbsida eller i de medföljande instruktionsböckerna.

Håll koll på dina appar

De allra flesta trojaner smygs in i mobiltelefonen via programbutiker som Google Play och App Store. För att hålla dig säker gäller det alltså att vara noga med vad du installerar. Välj i första hand appar från utvecklare som du känner dig trygg med, och läs gärna omdömen på nätet innan du installerar (en snabb googling räcker ofta för att upptäcka om någonting är lurt med programmet du vill installera). De flesta mobiloperativsystem låter dig även granska i detalj vilken information på telefonen som specifika appar använder sig av. Ibland är dessa fullt rimliga – exempelvis är det naturligt att en kameraapplikation behöver tillgång till telefonens kamerafunktioner. Men om till exempel ett enkelt spel ber om fullständig tillgång till din adressbok kan det vara anledning att bli misstänksam.

appar
Tänk efter före när du installerar nya appar på mobilen.

När du laddar ned en app till en Androidtelefon eller en Iphone visas en lista på dessa krav innan du godkänner installationen. Vill du vara på den säkra sidan så läs igenom listan och fundera en gång extra om någonting ser märkligt ut. Du kan även granska olika appars rättigheter vid ett senare tillfälle under telefonens inställningar.

Viktigt!

”Jag kör Iphone, alltså är jag säker”

Apples telefoner och surfplattor är betydligt mindre drabbade av skadlig kod och kända säkerhetsluckor än andra. Merparten av alla virus som upptäcks för mobiltelefoner riktar istället in sig på Googles operativsystem Android. Det beror dels på att Apples regler för vilken sorts appar som får säljas är betydligt strängare, dels på att den inbyggda säkerheten i en Iphone vanligtvis är högre än i en motsvarande Androidtelefon.

Men det betyder inte att man som Iphone-ägare kan känna sig helt säker. Appen “Find and call”, som finns beskriven ovan, är en av flera skadliga trojaner som upptäckts för Apples operativsystem på sistone. Siffror från det amerikanska myndigheten “department of homeland security” uppskattade år 2012 att 0,7 procent av all skadlig kod för mobiltelefoner var skriven specifikt för Apples Iphone. Det är en låg siffra, men de flesta bedömare är överens om att den kommer öka med tiden, i takt med att antalet Iphone-användare växer och skickliga angripare lär sig utnyttja nya svagheter i Apples operativsystem.

Antivirus för mobilen

De flesta stora antivirusföretag erbjuder sedan en tid tillbaka programvara även för mobiltelefoner. Hur intressanta dessa är för hemanvändaren kan diskuteras. I grunden handlar det om ett slags filter, som genomsöker dina installerade appar i jakt på skadlig kod och varnar om du försöker ladda ned och installera en suspekt applikation. Den som är noga med att bara installera pålitliga program klarar sig långt utan särskild mjukvara för just det (se ovan).

Däremot finns andra funktioner i programmen som kan vara nog så användbara, exempelvis automatisk säkerhetskopiering av data och möjligheten att låsa borttappade telefoner så att de inte kan användas – en sista utväg för att förhindra att känslig data hamnar i orätta händer.

En mobil för jobbet,
 en för hemmet

Har du småbarn hemma, eller vänner som gärna leker med din mobiltelefon när de är på besök, så vet du hur svårt det kan vara att hålla koll på exakt vad som händer med den. Har du mycket känslig information på din telefon kan det därför vara en idé att helt enkelt skaffa en till, som du använder för fritidssysslor. Det kan låta gammaldags, men är också ett smart sätt att särskilja känsliga uppgifter från sådant du inte bryr dig lika mycket om. Använd din privata mobil eller surfplatta för att spela spel och testa nya appar, jobbtelefonen för att ordna med viktiga mejl och sköta bankaffärer.

Genom att aldrig installera fler appar än nödvändigt och vara noga med vad du klickar på för länkar så minimerar du riskerna att informationen hamnar i fel händer. Din privata mobil kan du vara mindre försiktig med – även om den smittas av ett virus kommer ju angriparen inte över någonting av värde.