Mobilsäkerhet

Mobilsäkerhet

Idag har vi kanske mer privat information i våra mobiler än vi har i våra datorer. Vi har också med oss våra mobiler överallt och kopplar upp dem mot otaliga trådlösa nätverk. Förr eller senare säljer vi ofta våra mobiler i samband med att vi uppgraderar till nyare och bättre modeller. Sist men inte minst har vi börjat använda mobilerna för att utföra bankärenden och hantera annan känslig information. Det är därför dags att höja medvetenheten kring mobilsäkerhet.

Skärmlås

Det mest självklara tipset för bättre mobilsäkerhet är att alltid använda skärmlås på alla mobila enheter. Utan ett skärmlås kan vem som helst komma åt uppenbara saker som till exempel fotografier, filmer och Facebook-konton. Riskerna som uppstår vid ute­lämnande av skärmlås är dock betydligt större än så. Detta eftersom den som kan komma in i mobilen också kan komma åt ägarens e-postkonto. Genom att få tillgång till e-postkontot kan någon med ont uppsåt återställa lösenorden på alla webbtjänster som är kopplade till det e-postkontot. Det inkluderar webbtjänster som lagrar kreditkortsinformation!

Apple gjorde det enkelt för sina användare att låsa upp skärmen när de introducerade Touch ID på Iphone 5s. Touch ID gör att det räcker med att lägga ett finger på hemknappen för att låsa upp mobilen. I skrivande stund (augusti 2015) har denna lösning använts i snart två år och det har inte upptäckts några allvarliga säkerhetsbuggar med den. Observera att Touch ID inte ersätter utan snarare kompletterar ett lösenordslås. Det går alltid att använda ett lösenord för att låsa upp Touch ID-utrustade IOS-enheter. Det är också ett krav att ange lösenordet efter att IOS-enheten har startats om eller inte har låsts upp under 48 timmar.

I och med släppet av IOS 8 öppnar Apple möjligheten för tredjepartsutvecklare att använda Touch ID. Det gör att användarens fingeravtryck kommer att kunna användas för identifiering i fler sammanhang än bara vid inloggning och köp av appar (som det var i IOS 7).

För Android-plattformen finns det än så länge ingen enhetlig standard för inloggning med hjälp av fingeravtryck, men flera mobiltillverkare har tagit fram egna lösningar.

Anslutning till publika trådlösa nätverk

När en mobil eller surfplatta ansluts till ett publikt trådlöst nätverk skickas ­trafiken okrypterad mellan den mobila enheten och det trådlösa nätverkets accesspunkt. Det gör att vem som helst i närheten kan se vilka webbsidor som besöks och ofta även informationen som skickas. Det är endast vid besök av webbsidor vars adresser börjar med HTTPS som det inte är möjligt att avlyssna informationen som utväxlas, eftersom hela anslutningen mellan webbläsaren och webbsideservern är krypterad.

För att undvika avlyssning på publika trådlösa nätverk kan mobilen eller surfplattan kopplas upp mot en VPN-tjänst (Virtual Private Network). Vad detta innebär och hur det går till behandlas i Nätverk 14.

Säker radering av filer

Inför försäljning av en gammal mobil är det praxis att återställa den till fabriks­inställningarna, så att inte den nya ägaren får förra ägarens e-post, Facebook-flöde och så vidare. Problemet är att även om en fabriksåterställning raderar alla filer, så ­försvinner inte filerna helt. Alla filer blir markerade som borttagna, men de blir inte överskrivna. Det innebär att bilder, filmer, dokument och e-postbilagor fortfarande ligger på mobilen och går att återskapa med ett filåterställningsprogram. En filåterställning är inte överdrivet svår att göra och är generellt möjlig fram till dess att minnet har blivit överskrivet med ny data! 

I hårddiskssammanhang löses detta problem genom att skriva över hela hårddisken (läs mer i Dator 21.9). När varenda bit på hårddiskskivorna har skrivits om till en nolla finns det inte längre några filer kvar att återställa. Denna lösning är inte lika lämplig för lagringsytan i mobiler och surfplattor, eftersom den utgörs av flashminne. Till skillnad från hårddiskar påverkas flashminnens livslängd av omskrivningar. Det är inget problem som vi berörs av vid normal användning, men flera totala omskrivningar av ett flashminne påverkar dess livslängd.

Som tur är finns det ett mycket enklare sätt att lösa detta problem: att kryptera enheten. Genom att kryptera enheten behöver inte filerna tas bort! Det spelar ingen roll att de finns kvar på minnet, eftersom de är helt oläsbara utan krypteringsnyckeln. En återställning av filer från en krypterad mobil eller surfplatta ger endast en total nonsensblandning av ettor och nollor.

Säker radering av filer i IOS

Att sudda ut alla gamla spår på IOS-enheter är enkelt. Detta då samtliga Ipad-versioner och alla Iphone-modeller från och med Iphone 3GS har haft stöd för hårdvarukryptering. Det gör att IOS-enheterna krypterar sig själva åt sina användare, utan att användarna ens märker det. Det räcker med att användarna aktiverar skärmlåset.

Tack vare den automatiska krypteringen räcker det sedan med ett knapptryck för att slänga krypteringsnyckeln och därmed göra alla filer omöjliga att återskapa. Det görs genom att öppna Inställningar, gå till fliken Allmänt, välja Nollställ och trycka på ­Radera allt innehåll och inst

Kryptering i Android

I Android-sammanhang måste användaren själv välja att kryptera enheten (det sker inte per automatik som i IOS). Det är lyckligtvis inte svårt. Batteriet måste först och främst vara laddat eftersom krypteringen drar mycket ström. Skulle strömmen ta slut under pågående kryptering kan telefonen behöva återställas till fabriksinställningarna (eller i värsta fall sluta fungera helt). Laddaren ska därför också vara inkopplad medan krypteringen pågår!

För att kryptera en Android-enhet öppnar vi inställningsmenyn, väljer Säkerhet följt av Kryptering och klickar på Starta kryptering. Observera att krypteringen kan ta över en timme att genomföra. Enheten går inte att använda under tiden!

När krypteringen är klar startar Android-enheten om.

Kryptering i Windows 10

I Windows Phone 8.1 fanns stöd för att kryptera mobilen, men vanliga konsument­användare hade inte möjlighet att kryptera sina mobiler. För att aktivera krypteringen behövde mobilen nämligen hanteras genom en företagslösning.

Med Windows 10 kan lyckligtvis alla kryptera sina mobiler. Det görs genom att öppna systeminställningarna och välja Enhetskryptering.

Skadliga appar

Precis som i datorsammanhang finns det skadliga appar för mobiler (framförallt i form av trojaner). Som tur är har inte dagens mobila plattformar blivit lika utsatta för skade­program som skrivbordsversionen av Windows har varit sedan internets genomslag. Android, IOS och Modern UI-Windows är plattformar som har skapats med välgjorda avvägningar kring säkerheten. Ett operativsystems säkerhetsnivå är alltid en kompromiss mellan öppenhet, flexibilitet och säkerhet. Ju fler saker som går att göra, desto fler vägar öppnas också för skadeprogram att ställa till oreda.

Skadeprogramsskrivarna väljer självfallet att attackera plattformarna där användarna finns. Det är där de kan få valuta för sin spenderade tid. Kombinationen av att ha den största användarskaran och att vara det mest öppna mobila operativsystemet har gjort Android till skadeprogramskrivarnas nya favorit. Ett tydligt bevis på detta är insamlingen av skadeprogram som det finska säkerhetsbolaget F-secure genomför. Under det första kvartalet 2014 upptäckte de 275 nya skadeprogramsfamiljer (typer av skade­program med olika kodbaser) för Android och enbart en (1) ny skadeprogramsfamilj för IOS. Undertecknad chefredaktör anser att den enskilda skadeprogramfamiljen för IOS inte ens bör räknas, eftersom den endast drabbar jail-breakade IOS-enheter (IOS-enheter där Apples nedlåsningar av systemet är borttagna). Det innebär att ingen ”­vanlig” Iphone- eller Ipad-ägare kan drabbas av det skadeprogrammet.

Apple har tack vare sin kontrollerade säkerhetsmodell lyckats hålla IOS nästintill helt skadeprogramsfritt. Apple godkänner manuellt alla appar innan de publiceras till App Store och det finns inget annat sätt att sprida appar än genom just App Store. IOS begränsar också apparnas möjlighet att påverka varandra och att påverka systemet. Det gör att det enda sättet att sprida skadeprogram på IOS-plattformen är att hitta säkerhetshål som Apple har missat. Det är sådana säkerhetshål som nyttjas när nya metoder för jail-breaking av IOS-enheter tas fram.

Google har valt en friare och öppnare säkerhetsmodell. Google har sin egen appbutik Google Play där utvecklare kan publicera sina appar. Där arbetar Google snabbt och effektivt med att rensa bort appar som visar sig vara skadliga. Det gör Google Play både till ett dåligt sätt för skadeprogramsutvecklare att sprida sina skapelser och till ett utmärkt sätt för användare att ladda ned säkra appar.

Det finns inget som hindrar Android-användare att installera appar från andra app­butiker eller att installera appar manuellt. Android förlitar sig också på att användarna själva kontrollerar vilka behörigheter de ger sina appar, så att ingen app får fler rättig­heter än den behöver. Det öppnar stora möjligheter för skadeprogramsutvecklarna att sprida sina skadliga appar. För att få bukt med problemet har Google gjort så att ­användarna först måste låsa upp möjligheten att installera appar manuellt innan de kan installera appar från andra källor än Google Play (inställningen finns bland säkerhetsinställningarna). Google skannar också appar som distribueras utanför Google Play för att kunna varna användare som håller på att installera en känd skadlig app av misstag. Detta skydd fungerar dock bara på appar som Google redan har upptäckt.

Windows 10 för mobiler har ännu inte nått ut till någon väsentlig användarskara. Det gör att det är för tidigt att dra några slutsatser om säkerheten i Windows 10 Mobile. Det som går att konstatera är att i dagsläget löper Windows-mobiler liten risk för att utsättas för skadliga appar. Detta då den låga användarandelen gör plattformen ointressant för skade­programsutvecklare samt att Microsoft har valt att göra som Apple och endast tillåta att appar distribueras via deras appbutik (Microsoft Phone Store). Visserligen går det att installera Windows-appar manuellt, men det sker ändå indirekt via Windows Store. För att en app ska kunna installeras manuellt måste den ­nämligen finnas och vara köpt i Windows Store (undantag finns för företagssammanhang). På detta vis upprätthåller Microsoft full kontroll över vilka appar som installeras på Windows-mobiler. Den enda fördelen med manuell installation av Windows-appar är att apparna kan laddas ned från Windows Store på en dator och föras över till mobilen med ett SD-kort.

Appsäkerhet i Android

Eftersom Google är duktiga på att städa bort skadliga appar från sin appbutik utgör manuellt installerade appar det verkliga hotet. Den första tumregeln för att undvika skadliga appar i Android är således att endast installera appar från Google Play. Genom att dessutom undvika de minst populära apparna i Google Play (de som endast har ett fåtal installationer) uppnås ett nästintill fullgott skydd.

För att få en förhöjd säkerhet (eller för att minska riskerna som uppstår vid manuella appinstallationer) finns idag ett flertal anti-viruslösningar för Android. Oberoende AV-comparatives (www.av-comparatives.org) och AV-test (www.av-test.org) testar årligen dessa lösningar för att kunna redogöra för vilka anti-viruslösningar som fungerar tillfredsställande.

Den andra tumregeln för att undvika skadliga appar är att alltid vara noga med att studera vilka rättigheter som apparna vill ha. Historiskt har rättigheterna tilldelats i samband med installationen istället för när apparna har velat dra nytta av rättigheterna. Exempelvis behövde en app som ville ha tillgång till mikrofonen beviljas det i samband med installationen istället för när appen ville använda mikrofonen. Rättigheterna har också tilldelats enligt en allt-eller-inget-princip. Det enda sättet att inte ge en app en oönskad rättighet har varit att helt enkelt inte installera appen.

Som tur är sker det förändring på denna punkt i samband med lanseringen av Android M. Då kommer användarna att kunna styra exakt vilka rättigheter de vill ge kompatibla appar. Tyvärr lär det dröja ett tag innan alla appar är kompatibla med den nya principen för rättighetstilldelning.

Det är en god idé att regelbundet undersöka vilka appar som har vilka rättigheter på en Android-enhet. Med hjälp av appen F-secure App Permissions går det att få fram en lista över alla rättigheter som olika appar har blivit beviljade. F-secure App Permissions listar apparna i fallande ordning efter hur många rättigheter de har fått. Sist men inte minst går det att få fram listor över vilka appar som har tillgång till personlig information, platsinformation, kameran och ljudenheter. F-secure App Permissions är gratis att ladda ned från Google Play och kräver själv inga rättigheter.

F-secure App Permissions listar vilka appar som har fått flest rättigheter på en Android-enhet samt appar som har tillgång till enhetens kamera och ljudenheter.

Apphoten mot Android

De skadliga apparna för Android-enheter fungerar på i princip samma sätt som de för Windows-datorer. Huvudmännen bakom de skadliga apparna är i första hand ute efter att tjäna pengar. Det kan exempelvis vara genom att få mobilen att skicka betal-SMS, påverka annonsklickningar eller samla in personlig information som sedan kan säljas.

En annan typ av skadlig app är spionapparna. Det förekommer exempelvis en Android-trojan som gör att infekterade mobiler kan fjärrstyras. Trojanen gör det ­möjligt för ljusskygga personer att SMS:a infekterade mobiler med ett inspelnings­kommando. Efter­som Android-enheterna är infekterade kan trojanen se till att inga SMS-notiser visas för ägarna. Inspelningskommandot innehåller en instruktion på att spela in ljud via de infekterade mobilernas mikrofoner i önskat antal sekunder och sedan ladda upp ljudklippen till önskad server. Det finns även liknande Android-trojaner som laddar upp bildbiblioteket eller SMS-konversationerna till önskad server.

Lyckligtvis är det synnerligen osannolikt att råka ut för en spionerande Android-trojan så länge Google Play används som den enda källan till appar. Det är däremot olämpligt att manuellt installera appar med okänt ursprung. Inte ens en app som en kompis delar med sig av bör installeras, eftersom ingen vet varifrån han eller hon fick den (eller om ”kompisen” rent av själv har bakat in en spiontrojan i den).

Appsäkerhet i Windows

Att Microsoft styr vilka appar som finns i Windows Store gör appbutiken fri från skadliga appar (så länge som Microsoft inte begår något misstag). Trots det är det en god idé att kontrollera vilka rättigheter olika appar får i samband med att de installeras. Detta eftersom en app kanske inte nödvändigtvis är skadlig, men gör saker som användaren varken förväntar sig eller önskar att den ska göra. Det finns exempelvis sällan anledning att ge ett spel tillgång till mobilens adressbok (om det inte behövs för att bjuda in vänner till spelet).

Kontrollera därför noga vilka rättigheter som varje app får i samband med installa­tionen. Det görs genom att välja en app i Windows Store och scrolla längst ned.

Exempel på rättigheter som en app kräver (visas i Windows Store).

Med dagens säkerhetsmodell för Windows saknas möjlighet att bevilja appar ett urval av rättigheterna som de begär. Genom att installera en app beviljas samtliga rättigheter som den efterfrågar. Ett undantag från detta är tillgång till platsinformation, vilket är en rättighet som apparna måste be användaren specifikt om.

Appsäkerhet i IOS

Eftersom Apple inte tillåter att appar installeras på något annat sätt än genom deras appbutik, är risken för skadliga IOS-appar i princip obefintlig (så länge Apple inte ­begår något misstag). Apple har också valt att arbeta med en annan rättighetsmodell än ­Microsoft och Google. IOS-användare blir inte ombedda att godkänna en lista med apprättigheter i samband med varje appinstallation. Apple har istället valt ut en uppsättning av rättigheter som apparna måste be användaren bevilja första gången de ­används. Det gäller följande rättigheter: platstjänster (var enheten befinner sig), kontakter, kalen­drar, påminnelser, bilder, Bluetooth-delning, mikrofon, kamera och hemdata (data relaterad till Apples nya hemstyrningsplattform). Användaren kan alltid se vilka appar som har fått tillstånd att använda vilka rättigheter genom att öppna Inställningar, välja fliken Integritetsskydd och klicka på respektive rättighet.

Appar som har tillgång till mikrofonen på en Ipad.

Det går också att se exakt vilka rättigheter som en specifik app har genom att välja ­appen i Inställningar och klicka på Integritetsskydd. 

Spåra försvunna enheter

Android, IOS och Windows Phone har stöd för att via en webbtjänst spåra var en försvunnen enhet befinner sig och likaså att radera innehållet på den. För att möjliggöra detta kan en funktion i mobilen eller surfplattan behöva aktiveras. I Android görs det genom att öppna Inställningar, välja Plats och att aktivera platsrapportering för enheten. På samma ställe kan också positionshistoriken aktiveras som gör det möjligt att följa var Android-enheten har befunnit sig.

I IOS görs samma sak genom att öppna Inställningar, välja Icloud, Hitta min Iphone (alternativt Hitta min Ipad) och välja att aktivera funktionen. Där går det också att be IOS-enheten att skicka platsinformation till Apple när batteriet börjar ta slut. Med den funktionen aktiverad ökar chanserna att hitta en borttappad IOS-enhet vars batteri precis har tagit slut.

I Windows 10 görs det genom att öppna Inställningar, välja Uppdatering och säkerhet och aktivera Hitta min telefon. Mobilen kan regelbundet skicka sin position till Microsoft, vilket är bra för att spåra en Windows-mobil vars batteri precis har tagit slut.

Android

Android-enheter spåras med hjälp av webbtjänsten Android Enhetsadministratör. ­Genom att logga in på följande webbsida med samma Google-konto som på Android-enheten går det att se var i världen den senast användes med uppkoppling till internet.

https://www.google.com/android/devicemanager

Genom samma webbtjänst går det också att ringa till enheten. Det är bra om den ligger gömd mellan soffkuddarna. Ringsignalen ljuder även om ljudlöst läge är aktiverat men däremot inte om ”stör ej-funktionen” är aktiv.

Android Enhetsadministratör i webbläsaren

Vid misstanke om stöld går det att antingen rensa enheten på all data eller att låsa ­enheten. Att låsa enheten innebär att den som hittar mobiltelefonen eller surfplattan måste ange att lösenord för att låsa upp skärmen (lösenordet väljs via webbgränssnittet i samband med låsningen). Ägaren av enheten kan välja att presentera ett egen­händigt formulerat meddelande på skärmen tillsammans med en knapp som ringer upp ­ägaren på ett alternativt telefonnummer (själva uppringningen fungerar av förklarliga skäl ­endast med mobiltelefoner och inte med surfplattor). Både meddelandet och det alternativa telefonnumret ställs in via webbgränssnittet i samband med låsningen.

Meddelande visas på en borttappad Nexus 5.

Ägare av flera Android-enheter kan använda en enhet för att spåra en annan. Detta ­genom att ladda ned appen Android Enhetsadministratör från Google Play (gratis).

IOS

I IOS sker spårningen av försvunna enheter med hjälp av Icloud. Funktionen som ­används nås genom att logga in på www.icloud.com och välja Hitta min Iphone (funktionen fungerar namnet till trots lika bra för Ipad). Där visas var enheten senast befann sig då den hade internetuppkoppling. Det går att få IOS-enheten att ringa (fungerar även om ljudlöst läge är aktiverat) och likaså att radera innehållet på den.

Apples spårningsfunktion Hitta min Iphone i webbläsaren.

Genom att aktivera Borttappat läge låses skärmen med det befintliga skärmlösenordet (eller ett som väljs i webbgränssnittet om skärmlåset inte var aktiverat sedan tidigare). Ägaren av IOS-enheten kan också skriva ett meddelande som visas på skärmen tillsammans med ett telefonnummer där han eller hon vill bli kontaktad. Om det är en Iphone som är borttappad kan upphittaren ringa det telefonnumret från Iphonens låsskärm (men inget annat telefonnummer).

Meddelande visas på en borttappad Ipad Air.

Ägare av flera IOS-enheter kan använda en enhet för att spåra en annan. Detta genom att ladda ned appen Hitta min Iphone från App Store (gratis).

Windows

För Windows-enheter kan webbtjänsten på account.microsoft.com/devices användas för samma ändamål. Genom att logga in med samma Microsoft-konto som på mobilen går det att få upp en karta över var mobilen senast befann sig när den hade internetuppkoppling. Det går även att fjärradera enheten och att få mobilen att ringa på högsta volym, vilket sker även om den är inställd på ljudlöst läge.

Microsofts spårningsfunktion i webbläsaren.

Ägaren av Windows-enheten kan också låsa telefonen så att det krävs ett skärmlösenord för att komma in i den (om inte skärmlåset redan var aktiverat). I samband med det får ägaren även möjlighet att skriva ett meddelande på skärmen. Till skillnad från i Android- och IOS-sammanhang går det inte att lägga in ett reservtelefonnummer som upphittaren kan ringa direkt från låsskärmen. Det finns givetvis inget som hindrar att ett alternativt telefonnummer nämns i det skriftliga meddelandet.

ICE-information

I början av 00-talet uppmanades alla mobilägare att lägga in en kontakt vid namn ICE (In Case of Emergency) med tillhörande nummer i sina mobiler. Tanken var att om mobilens ägare hamnade i en nödsituation, skulle någon i omgivningen lätt kunna ringa en lämplig person. ICE-numret kunde exempelvis gå till mobil­ägarens sambo, föräldrar eller barn.

En kontakt vid namn ICE i kontaktlistan är dock verkningslös om detta kapitels ­inledande råd efterföljs (att använda skärmlås). Eftersom ICE ändå har blivit ett så pass etablerat begrepp kan denna information förslagsvis istället läggas direkt på låsskärmen.

På en Android-mobil är det enkelt att lägga ICE-information på låsskärmen. Öppna Inställningar, välj Säkerhet följt av Låsskärmsmeddelande. Informationen som skrivs i den rutan visas på låsskärmen.

ICE-information i Android M

Denna funktion finns inte till Windows-enheter, men det går att åstadkomma samma sak genom att skapa en egen bakgrundsbild och lägga en text ovanpå. Detta är enkelt att göra i bildredigeringsprogram som till exempel Photoshop Elements och Gimp (finns att ladda ned gratis från www.gimp.org). Om det känns för krångligt finns även en mycket simpel lösning. Öppna en anteckningsapp, skriv ICE-informationen som en anteckning, ta en skärmdump av det som visas på skärmen och använd skärmdumpen som bakgrundsbild. Det blir kanske inte så snyggt, men det kan rädda liv!

Tips! Håll informationen kort och koncis. Kom ihåg att ange landsnummer, eftersom ICE-informationen även ska vara gångbar utomlands (d.v.s. inled med +46 för Sverige).

Iphone har en inbyggd ICE-funktion. Genom att öppna appen Hälsa och välja Medicinskt ID går det att lägga till ICE-kontaktpersoner. Dessa personer går att ringa från låsskärmen.

Tyvärr är denna funktion ganska otydlig på låsskärmen. Den nås genom att välja nödsamtal och sedan klicka på Medicinskt ID längst ned till vänster.

Senast ändrad: 2017-09-19