Torsdagen den 10 januari 2013

Smarta mobiler allvarlig säkerhetsrisk

Radering krävs. Mobiler måste liksom datorer dataraderas med särskilda program för att all information ska rensas bort, säger Daniel Bonde på Inrego.

Smarta mobiler på andrahandsmarknaden innehåller stora mängder privat och företagshemlig information från tidigare användare. Företag eller privatpersoner som inte dataraderar sina mobiler innan de byts ut riskerar att känslig information hamnar i orätta händer och utnyttjas i skadliga syften. Det framgår av ett samarbetsprojekt mellan Inrego och Computer Sweden där totalt 50 begagnade mobiler köptes in och vittjades på information med hjälp av gratisprogram på Internet. Den forensiska analysen utfördes av IT-säkerhetsföretaget Bitsec på uppdrag av Computer Sweden. I 39 av mobilerna påträffades information från den tidigare användaren, bland annat mötesprotokoll, kundregister och bilder.

– Projektet visar tydligt på en allvarlig säkerhetslucka i hur mobiler hanteras av företag och privatpersoner. Smarta mobiler är små datorer och bör behandlas på samma sätt som datorer ur ett säkerhetsperspektiv. Även mobiler måste dataraderas med raderingsprogramvara om man vill vara säker på att ingen information ska komma på villovägar när mobilerna byts ut eller säljs. Det räcker inte att göra en fabriksåterställning, säger Daniel Bonde, IT- och säkerhetschef på Inrego som är specialiserat på återanvändning av datorer och mobiler.

Sammanlagt 50 mobiler från sex olika tillverkare köptes in slumpmässigt under sensommaren och hösten. Inköpen inriktades mot mer avancerade mobiler som använts av medarbetare i organisationer/företag.

Därefter har IT-säkerhetsföretaget Bitsec på uppdrag av Computer Sweden genomfört en forensisk utredning och analys av mobilernas minnen med hjälp av gratisprogram på nätet och som kan användas av vem som helst med grundläggande kunskaper på området.

Under genomgången av mobilerna kunde information från tidigare ägare/användare återskapas i 39 av de 50 mobilerna. I en tredjedel av mobilerna, 16 stycken, upptäcktes information av känslig natur.

I dessa mobiler påträffades tusentals filer, bland annat kundregister, mötesprotokoll, presentationer, försäljningsstatistik från företag, mejlkorrespondens, lönebesked, privata bilder, produktdata, bilder av sexuell natur, CV:n med mera. Ett stort antal företag och individer kunde identifieras.

Samtliga mobiler som innehöll data hade Symbian eller Android som operativsystem, det vill säga mobilmärken som Nokia, Samsung, Sony Ericsson och HTC.

Mobilerna var sannolikt fabriksåterställda av sin senaste ägare. Vid en återställning till fabriksinställningarna kan viss data också raderas för gott, men stora datamängder ligger i regel kvar i mobilerna och kan alltså återskapas.

– Vi är förvånande över att vi kunde hitta så mycket information och att företag uppenbarligen saknar säkerhetsrutiner för mobiler. Bara fantasin sätter gränser för vad någon med ont uppsåt skulle kunna använda informationen till, t ex att sälja kundregister till konkurrenter, utpressning mot personer,
bedrägerier och identitetsstölder. Mobiler är rena gulgruvan för kriminella, säger Wesam Dayem, forensiker på Bitsec och ansvarig för mobilanalysen.

iPhone krypterade

Han betonar att granskningen ger en överblick och att en djupare granskning av materialet, med de kommersiella program som Bitsec vanligtvis använder, skulle resultera i att betydligt fler filer och även mejl och SMS skulle kunna återskapas. Det kan vara väl investerad tid för en IT-brottsling eller främmande makt om man till exempel vet att mobilen tillhört en högt uppsatt politiker eller börs-vd.

För 11 av mobilerna var det inte möjligt att återskapa några filer alls, däribland samtliga iPhone. Om dessa endast var fabriksåterställda eller dataraderade med raderingsprogram är oklart. Här kan noteras att informationen i iPhone är krypterad till skillnad mot andra operativsystem vilket ger ett bättre grundskydd.

– Men det är naturligtvis möjligt att knäcka krypteringen och då kan filerna återskapas. Allt är en fråga om kompetens, tid och resurser. En underrättelsetjänst är till exempel säkerligen beredd att lägga relativt stora resurser på att få fram information om man bedömer den som värdefull, säger Wesam Dayem.

Fakta om projektet

- Inrego och Computer Sweden (IDG) har genomfört ett forensiskt projekt för att undersöka om och i vilken omfattning kritisk affärsinformation/ privat information finns tillgänglig på smartphones på andrahandsmarknaden och vilken säkerhetsrisk mobiler innebär, både för privatpersoner och företag. Computer Sweden anlitade Bitsec för att utföra forensisk utredning och analys av mobilerna.

- Ett externt företag anlitades för att köpa totalt 50 begagnade under sensommaren/hösten 2012. Inköpsställen har varit Blocket,Tradera samt ett stort antal second hand-butiker i Stockholmsområdet. Mobilerna är 18-24 månader gamla.

- Inköpen har riktats in på företagsmobiler, dvs mobiler som tidigare använts av medarbetare i en organisation. För att i möjligaste mån säkerställa det har kontrollfrågor ställts i samband med köptillfället och dessutom har endast mer avancerade och typiska företagsmobiler valts ut för inköp.

- Med de 50 mobilerna – Samsung (5 st), iPhone 3 (4 st), HTC (11 st), Nokia (9 st), Sony Ericsson (20 st) och Blackberry (1), är flertalet mobila plattformar/operativsystem representerade i studien (IOS, Android, Windows, Symbian, Blackberry).

- Bitsec har därefter genomfört en forensisk utredning och analys av mobilerna. I arbetet att extrahera data från mobilerna använde Bitsec verktyget Foremost, ett av många förekommande gratisprogram som finns allmänt tillgängliga på nätet.

- Efter Bitsecs utredning har mobilerna dataraderats av Inrego med programvara från Blancco.

- Samtliga personer som har hanterat mobilerna eller den information som påträffats lyder under sekretess.


Pressmeddelande från: Inrego AB