Det kan mobilen avslöja

Det kan mobilen avslöja

I värsta fall kan din smarta telefon avslöja:

  • Vem det är du kommunicerar med.
  • Innehållet i kommunikationen.
  • Var du befinner dig, eller var du har befunnit dig.

Använd inte ett nummer kopplat till dig

Inkommande och utgående samtal lagras i samtalsloggar hos ­operatören. Om du någon gång vill ringa ett anonymt samtal, ­använd då inte ett telefonnummer som går att koppla till dig.

En telefon utan pinkod

Utan knapplåset aktiverat kan den som hittar din telefon se vilka kontakter som finns i adressboken, läsa e-post, använda de webbtjänster du är inloggad på och så vidare. Aktivera telefonens lösenord så att den inte går att använda utan rätt kod. Det minskar risken för att någon som hittar en glömd telefon i taxin kommer åt känslig information.

Men tyvärr är varken lösenordet eller pinkoden någon garanti för att informationen i telefonen är säker. Både Iphone och olika Android-modeller har haft buggar som gjort det möjligt att helt eller delvis ta sig förbi lösenordet genom att trycka på olika knappar i en viss sekvens.

Vissa telefonmodeller har inställningar som raderar allt innehåll efter ett visst antal misslyckade försök att låsa upp den. Det är inte säkert att innehållet raderas på ett sådant sätt att det inte går att återskapa, men med funktionen aktiverad försvårar man åtminstone något för den som eventuellt kommer över telefonen.

Spara inte känsliga kontakter i adressboken

Telefonnummer och andra kontaktuppgifter till personer som du vill hålla hemliga bör sparas på något annat ställe än i mobilens adressbok. Det finns tjänster, exempelvis hos Google, Apple och Microsoft, som gör det lätt att synkronisera adressboken mellan dator och mobiltelefon. En smidig lösning, men den innebär också att kontaktuppgifterna hamnar på servrar man som användare inte har någon kontroll över.

Dessutom finns det många andra tjänster² som vill komma åt innehållet i telefonens adressbok, bland annat för att hitta andra vänner som redan skaffat konto på samma tjänst.

Rensa i historiken

Har du använt mobiltelefonen för att leta upp kontaktuppgifterna till en person som du inte vill att andra ska veta att du har kontakt med eller för att skicka mejl, rensa bort de mest uppenbara spåren efteråt. Kommer någon över din telefon och tittar i webbläsarens historik eller vilka mejl som skickats har du i alla fall minskat risken att hen kommer över känsliga uppgifter.

Se upp med trådlösa nätverk

Koppla bara upp telefonen mot trådlösa nätverk som kräver kryptering, allra helst med standarden WPA2. Den teknik som heter WEP är lätt att hacka. Stäng också av funktionen som kopplar upp ­mob­ilen mot ett trådlöst nätverk automatiskt. Okrypterade nätverk är väldigt lätta att avlyssna för den som befinner sig i närheten. Från en dator är det bland annat möjligt att se vilka webbplatser du ­besöker och läsa den e-post du skickar och tar emot.

Telefonen letar efter kända nätverk

Ett annat problem med att låta telefonen koppla upp till trådlösa nätverk automatiskt är att det går att lura den att ansluta till en ”falsk” basstation. Med wifi aktiverat skickar telefonen hela tiden ut namnet på alla trådlösa nätverk som finns sparade i inställningarna. Detta för att ett känt nätverk ska kunna upptäckas så snabbt som möjligt, men också för att telefonen ska kunna upptäcka bas­stationer, vars namn är dolda. Att telefonen söker efter kända nät på detta sätt är problematiskt ur flera aspekter. Det finns basstationer som kan lyssna efter ”frågorna” som en telefon eller dator skickar ut och låtsas vara en av de basstationer som prylen söker efter. Resultatet är att den ansluter till basstationen och att trafiken därefter går att avlyssna av den som har kontrollen över den falska basstationen. I dagsläget är det bara nätanslutningar som är okrypterade eller skyddade med WEP som går att attackera på detta sätt. Men det räcker med att ett sådant nät finns med bland dem som telefonen söker efter för att den ska kunna luras.

Och även om det inte går att använda namnet på ett trådlöst nät skyddat med WPA2 för att få telefonen att koppla upp sig mot en falsk basstation går det att snappa upp att telefonen frågar efter de näten. Också det är ett potentiellt problem. Om två telefoner skickar ut samma ovanliga namn så är det åtminstone en indikation på att telefonerna, och då kanske även ägarna, har befunnit sig på samma plats. Det skulle kunna knyta två personer till varandra. Varje pryl med trådlöst nätverk har dessutom en unik adress som kallas ­MAC-adress. Denna avslöjas när prylarna letar efter nätverk att koppla upp sig till. Genom att logga vilka MAC-adresser som funnits i närheten går det alltså att se när en viss telefon återkommer. Och har man lyckats ta reda på vilken MAC-adress en viss persons telefon har vet man alltså när hen med stor sannolikhet har befunnit sig på platsen.

Ett tredje problem är att det finns databaser som listar var i ­världen ett visst wifi-nätverk finns. Det är information som bland annat används för att förbättra mobiltelefonens positionerings­funktioner. I stället för att bara förlita sig på gps går det att titta på vilka trådlösa nätverk som finns i närheten, det förbättrar precisionen och ger dessutom oftast snabbare resultat.

Men de här databaserna går också att använda omvänt: Genom att titta på vilka trådlösa nätverk en mobiltelefon frågar efter kan man med lite tur – om nätverken har unika namn och finns med i någon av databaserna – få veta var i världen just den basstationen finns.

Lösningen på alla problem som är kopplade till de här nätsökningarna är helt enkelt att stänga av wifi när du inte behöver den trådlösa uppkopplingen.

Stäng av Bluetooth

Det finns trojaner och annan skadlig kod som har smittat telefoner via Bluetooth. Om du inte använder tekniken, exempelvis för ett trådlöst headset, stäng av Bluetooth för att vara på den säkra sidan.

Kryptera telefonsamtalen

Normala mobilsamtal är inte skyddade mot avlyssning. Krypterad ip-telefoni är ett sätt att försvåra för den som vill försöka avlyssna ett telefonsamtal. Om internetuppkopplingen dessutom sker via en VPN-tunnel (se nästa avsnitt) komplicerar man det ytterligare för den som vill avlyssna en telefon.

I februari 2013 skrev Svenska Dagbladet en artikel³ som varnade för riskerna med telefonavlyssning i mobilnäten. Det som krävs är en bärbar basstation som lägger sig som en länk mellan mobil­telefonen och operatörens basstation. Tekniken gör det möjligt att avlyssna både röstsamtal och sms.

Lösningen är att kryptera både samtal och meddelanden. När detta skrivs är ett av de mest rekommenderade alternativen för detta Iphone-appen Signal och Redphone respektive TextSecure för Android. Apparna utvecklas av en programmeringsgrupp som heter Open Whisper Systems, där den i säkerhetskretsar kände Moxie Marlinspike är en av centralfigurerna.

Kryptera datakommunikationen

En smartphone är i många avseenden en dator, och därmed återfinns många av de säkerhetsproblem som är kopplade till en dator också i din ficka. Om kommunikation som går över internet, till exempel e-post eller chatt, inte är krypterad finns en risk att någon lyckas avlyssna den.

Avlyssningen kan ske på flera ställen. Är du uppkopplad mot ett trådlöst nätverk finns det en möjlighet för andra som befinner sig i närheten att tjuvlyssna på din Internettrafik. IT-avdelningen på källans arbetsplats har också stora möjligheter att läsa er kommunikation, precis som alla personer som har tillgång till nätverksutrustningen på vägen.

Kryptera datakommunikationen

En smartphone är i många avseenden en dator, och därmed återfinns många av de säkerhetsproblem som är kopplade till en dator också i din ficka. Om kommunikation som går över internet, till exempel e-post eller chatt, inte är krypterad finns en risk att någon lyckas avlyssna den.

Avlyssningen kan ske på flera ställen. Är du uppkopplad mot ett trådlöst nätverk finns det en möjlighet för andra som befinner sig i närheten att tjuvlyssna på din Internettrafik. IT-avdelningen på källans arbetsplats har också stora möjligheter att läsa er kommunikation, precis som alla personer som har tillgång till nätverksutrustningen på vägen.

Kryptera nättrafiken

När du använder tjänster på internet, som e-post och känsliga webbplatser, se till att trafiken mellan din dator och servern är krypterad. I webbläsaren ska du använda adresser som börjar med https i stället för http, där ”s” står för secure. Använder du inte en webbtjänst för din e-post utan i stället skriver och läser i telefonens e-postprogram ska du se till att det är inställt att skicka och ta emot e-post via en krypterad förbindelse.

Ett sätt att skaffa sig ytterligare ett skydd mot avlyssning är att använda ett så kallat VPN, ett virtuellt privat nätverk. Det är en teknik som innebär att all datatrafik som lämnar datorn krypteras. Det gäller även trafik som redan har krypterats av ett program i datorn, exempelvis HTTPS i webbläsaren.

För att kunna skydda dataförbindelsen med ett VPN krävs ett konto på en så kallad VPN-server. Viktigt är dock att det är en VPN-tjänst som använder en säker teknik. Det finns en äldre VPN-lösning som heter PPTP där det har hittats flera säkerhetshål. Den ska alltså undvikas helt. Man bör också välja bort VPN-tjänster som utvecklat egna lösningar och som kräver att tjänstens egna program är installerade på dator och mobiltelefon. Det finns öppna, väl beprövade lösningar som är att föredra. Open VPN och IPSec är två alternativ.

I valet av VPN-tjänst är det viktigt att fundera på vem det är man vill skydda sig mot. Med ett VPN läggs ett extra krypteringslager på i kommunikationen mellan telefon (eller dator) och VPN-server. Servern plockar sedan bort krypteringen och skickar datainnehållet vidare till destinationen. Om inte även det som skickas i VPN-tunneln är krypterat, exempelvis med HTTPS för webbtrafik, finns därmed en risk att den som sköter VPN-servern avlyssnar trafiken. Om det av någon anledning finns skäl att misstänka att den du vill skydda dig mot har inflytande över en VPN-tjänst som du överväger att ­använda bör du därför välja en annan.

En fördel med en VPN-tunnel är att den förflyttar det potentiella läckaget till en annan geografisk plats än den där användaren befinner sig. På det lokala kaféet kan någon känna igen dig och få för sig att försöka avlyssna trafiken. Men med en VPN-tjänst som befinner sig långt bort, kanske till och med i ett annat land, blir det svårare att koppla kommunikation till en viss person. Ett annat sätt att minska riskerna med avlyssning av någon som befinner sig i närheten är att slå av telefonens trådlösa nätverk och i stället bara låta den kommunicera via 3G.

När man använder VPN i mobiltelefonen gäller det att vara ­vaksam på att många appar börjar skicka data redan innan VPN-­förbindelsen är upprättad. Först när telefonen fått kontakt med VPN-servern skickas data den krypterade vägen.

Ett sätt att kontrollera om VPN-förbindelsen fungerar är att använda en tjänst som http://whatismyipaddress.com och jämföra resultatet med och utan VPN-anslutning. Tjänsten visar vilken ip-adress din dator eller mobiltelefon identifierar sig med på nätet. Med och utan VPN-tunnel ska det vara två olika ip-adresser.

Ett alternativ till kommersiella VPN-servrar är Tor⁴, en gratistjänst som utvecklas med bidrag från bland annat Sida, som gör det ­möjligt att surfa anonymt.

Precis som med VPN-lösningar krävs dock att trafiken som skickas via Tor är krypterad. Annars finns det en risk att trafiken avlyssnas när den väl lämnat Tor och fortsätter till destinationen.

Tor finns till Android-telefoner. Med Orbot installerat går det att dölja sin ip-adress och till viss del skydda datatrafiken med kryptering. Men det krävs en så kallad rotad mobiltelefon för att all trafik ska gå via Tor. I normala fall går bara viss trafik via Tor. Surfar man exempelvis med Chrome kommer webbtrafiken, trots att Orbot är installerat i telefonen, att vara oskyddad, medan den som i stället använder webbläsaren Orweb kommer att vara anonymiserad.

I bästa fall ska förbindelsen alltså vara krypterad i flera steg: WPA2 krypterar den trådlösa kommunikationen mellan mobiltelefon och basstation, VPN eller Tor krypterar trafiken från telefonen och en bit ut på nätet medan HTTPS eller liknande krypterar trafiken från programmen i telefonen och fram till destinationen.

Genom att på detta sätt lägga på kryptering i flera lager skaffar man sig som användare ett förstärkt skydd mot dem som kan tänkas försöka avlyssna trafiken. Råkar man exempelvis använda en okrypterad webbplats för att skicka känslig information så ger WPA2 och VPN-tunneln fortfarande ett skydd, åtminstone en bit av vägen.

Kryptera e-posten

E-posten ska helst krypteras på två sätt. Den kryptering som det oftast pratas om är lösningar som Pretty Good Privacy, PGP⁵. Med PGP krypteras själva innehållet i ett mejl. Därmed blir det omöjligt för en utomstående som lyckas snappa upp ett mejl att se vad två parter skriver till varandra. Men det är fortfarande möjligt att se vilka det är som kommunicerar och mejlets ärenderad. Adresserna, både mottagarens eller avsändarens, är fortfarande i klartext. Skulle också adresserna vara krypterade skulle nämligen mejlet inte hitta fram.

Att innehållet i känslig e-post bör vara krypterad beror på att ett mejl på vägen från avsändare till mottagare passerar väldigt många steg. Och i varje hopp har it-teknikerna i teorin möjlighet att läsa innehållet i brevet.

Tyvärr är det fortfarande ganska bökigt att skicka och ta emot krypterad e-post i mobiltelefonen. För säker kommunikation på språng är redan nämnda Signal och TextSecure bättre alternativ.

För att skydda sin e-post ytterligare bör man också se till att kommunikationen mellan den egna mobiltelefonen och e-post­servern är krypterad. Använder man en webbtjänst för sin e-post, som Googles Gmail, bör man surfa till en krypterad sida innan man matar in sitt lösenord. Adressen ska börja med https:// i stället för http://. Använder man ett e-postprogram i telefonen ska man i stället se till att förbindelsen till e-postservern skyddas med teknik som TLS eller SSL.

Om kommunikationen mellan telefon och e-postserver/webbtjänst inte är krypterad innebär det att användarnamn och lösenord skickas i klartext. Det innebär i sin tur att andra personer ibland kan snappa upp inloggningsuppgifterna. Och då hjälper det inte längre hur långt och komplicerat lösenord man än har valt.

Välj webb före app

Om du använder telefonens webbläsare kan du själv kontrollera att förbindelsen till nättjänsten använder en krypterad HTTPS-förbindelse. Om en installerad app skickar data krypterat eller okrypterat är svårare att veta. Ska du hantera känslig information, välj därför hellre en HTTPS-anslutning i webbläsaren i stället för en app om det är möjligt.

Fabriksåterställning raderar inte alla data

Många telefoner har en funktion för så kallad fabriksåterställning. Syftet är att alla data från telefonen ska raderas, så att den till ­exempel ska gå att sälja i andra hand utan att säljarens information hamnar i köparens händer.

Men en granskning som tidningen Computer Sweden gjorde vintern 2013 visar att funktionen inte alltid fungerar som användarna förväntar sig. Tidningen gav ett säkerhetsföretag i uppdrag att försöka återskapa information från begagnade telefoner som köpts på Blocket, och resultatet var nedslående.

Säkerhetsexperterna lyckades bland annat att återskapa mötes­anteckningar, kontaktlistor och fotografier.

Malware stjäl information

Till datorer har det under lång tid funnits olika typer av spion­program som bland annat kan användas för att stjäla inloggningsuppgifter och annan information.

Motsvarande program börjar nu dyka upp också till mobil­telefoner. Främst är det Android som är drabbat. Det du som användare kan göra för att minska risken för att råka installera ett spionpro­gram är att bara ladda ner nya appar från pålitliga källor, som Googles egen appbutik Google Play. Du bör också titta igenom vilka rättigheter appen begär när du installerar den, och avbryta installationen om ett program utan uppenbar anledning exempelvis vill komma åt telefonens adressbok.

Försiktigt med molntjänsterna

Nätets molntjänster kan förenkla datoranvändningen ordentligt. I begreppet ”molntjänster” ryms en mängd olika lösningar. Det de har gemensamt är att data lagras på nätet i stället för i användarens dator. Exempel på molntjänster är Dropbox som fungerar som en hårddisk och Google Drive, sökjättens lösning för ordbehandling och kalkylblad som tidigare hette Google Docs.

Men ur ett integritetsperspektiv kan molntjänsterna vara problematiska. Som användare tvingas man lita på att företaget som tillhandahåller tjänsten har koll på säkerheten. Och historien visar att så inte alltid är fallet. Dessutom ligger informationen ofta lagrad på servrar i andra länder än Sverige, där annan lagstiftning gäller.

Allmän försiktighet med alla typer av molntjänster rekommen­deras därför för känslig information. Men det kan också finnas tillfällen då molntjänster är ett betydligt bättre alternativ än att lagra dokument och bilder på den egna datorns hårddisk. Ett exempel är om du ska resa in i eller ut ur länder där det finns en risk att inne­hållet på hårddisken kontrolleras. Att då jobba mot en molntjänst, gärna via en Tor-uppkoppling, är ett bra alternativ. Som alltid: Eftersom ­hotbilden varierar från jobb till jobb är vissa lösningar bra ibland, men ibland dåliga.

Mobilnätet vet var telefonen är

Mobiltelefonen kan på olika sätt och med varierande grad av noggrannhet avslöja var i världen du befinner dig. Av tekniska skäl ­behöver mobilnätet veta var varje mobiltelefon befinner sig. Det är den möjligheten polisen använder när de söker efter folk.

Det finns också teknisk utrustning, så kallade IMSI catchers, som kan användas för att lokalisera en specifik telefon om den befinner sig i närheten. Det är fortfarande relativt dyr utrustning, men priserna på teknik går ju alltid ner.

IP-adresser ger ungefärlig plats

Varje pryl som är uppkopplad till internet har en ip-adress. Dessa IP-adresser går ofta att koppla till en ungefärlig geografisk plats, ibland till ett visst företag. Besöker du en webbplats när du är uppkopplad via ett nätverk är sannolikheten stor för att företaget eller personerna som driver webbplatsen i sina loggfiler kan se att de fått besökare från nätverket.

Tor kan användas för att försvåra avlyssning av datatrafiken, men verktyget ger också uppkopplade prylar en annan ip-adress än de ”egentligen” har. Tor kan därmed ge utökad anonymitet på nätet.

Insamling av MAC-adresser

Varje pryl som kan kopplas till ett nätverk – trådbundet eller trådlöst – har en så kallad MAC-adress som är unik. Varje gång mobiltelefonen söker efter ett trådlöst nätverk att koppla upp sig emot meddelar den också vilken MAC-adress den har.

Det finns företag som utvecklar kommersiella lösningar som utnyttjar detta. Tanken är att butiksägare ska kunna se hur kunder rör sig i butiken, hur ofta de återvänder och på andra sätt få användbar statistik. Men man kan också tänka sig en situation där möjligheten används för att se om en viss person befunnit sig på en viss plats.

Lösningen är att stänga av wifi när den trådlösa uppkopplingen inte behövs.

Positionering med gps

Allt fler appar i telefonen använder gps:en för att lägga till uppgifter om latitud och longitud i exempelvis bilder eller statusuppdateringar i sociala nätverk.

Innan du publicerar bilder på webben eller skickar dem till någon annan, kontrollera därför att det inte finns med känsliga uppgifter i metainformationen. Det kan bland annat göras i datorn. I en Mac, öppna bilden i programmet Förhandsvisning, välj Visa granskare i Verktygsmenyn och klicka sedan på fliken för mer information (visas som ett gement i inuti en svart ring). Om bilden har gps-information syns det där. I Windows, högerklicka på bilden i Utforskaren, välj Egenskaper och sedan Detaljer. Bläddra nedåt i informationen, där syns gps-data om det finns.

För att kunna ta bort eventuell gps-information i bilden behövs en så kallad EXIF-redigerare. Sådana program finns till både Mac och Windows, men också till Android och Iphone.

Gå även igenom inställningarna för de appar som finns installerade i telefonen och kontrollera vilka som över huvud taget får använda gps:en.

Skydda röstbrevlådan med en pinkod

Ringer du till din röstbrevlåda från en annan telefon behövs en fyrsiffrig pinkod för att kunna lyssna av nya meddelanden. Om du däre­mot inte har aktiverat funktionen krävs ingen pinkod om du ringer från ditt eget nummer. I stället ser operatören att du ringer från rätt nummer och släpper in dig direkt.

Men det finns teknik som gör det möjligt att visa ett annat telefonnummer än det man faktiskt ringer i från. Genom att använda ditt mobilnummer kan det därmed vara möjligt för någon annan att avlyssna din röstbrevlåda om den inte är skyddad av en pinkod, oavsett från vilket nummer denna någon ringer. Det innebär också att säkerheten för röstbrevlådan inte kan bli starkare än en fyrsiffrig kod.

Föregående kapitel
Nästa kapitel