Mobil-apper sender persondata i klartekst

Både Facebook- og kalenderdata overføres ukryptert.

Facebook åpnet nylig for sikker overføring av brukerdataene, dersom man benytter den vanlige webutgaven. Men brukeren må aktivere dette selv. Dette skal kunne bidra til bedre personvernssikkerhet for brukerne fordi det reduserer mulighetene til å avlytte datastrømmen mellom brukeren og Facebooks servere.

Facebook har allerede blitt kritisert for at de sikre forbindelsene ikke nødvendigvis gjelder for tredjepartsapplikasjonene som tilbys i tjenesten. Nå går det også fram at heller ikke Facebooks applikasjoner, i alle fall for Android, krypterer trafikken.

Dan Wallach, førsteamanuensis ved informatikk-avdelingen ved Rice University i Houston, skriver i dette blogginnlegget at han i en laveregradsforelesning i IT-sikkerhet satte opp en trafikksniffer for avlytte hans Android-baserte smartmobil.

I forsøket ble det avslørt at selv om mye av trafikken er kryptert, så finnes det også viktige unntak.

– Facebook gjør alt i klartekst, omtrent som Twitter, skriver Wallach. Men i motsetning til Twitter, bruker ikke Facebook OAuth-signaturer, som gjør det vanskelig for tredjeparter å lage falske poster.

Wallach skriver videre at mens Google krypterer trafikken til Gmail og Google Voice, så krypteres ikke trafikken til Google Calendar.

– En tyvlytter kan definitivt se kalendertransaksjonene dine, og kan sannsynligvis personifisere seg som deg overfor Google Calendar, mener Wallach. Han skriver ingenting om hvorvidt situasjonen er identisk for tilsvarende applikasjoner på andre mobilplattformer.

The Register har konfrontert både Facebook og Google med disse uttalelsene.

– Etter lanseringen av SSL for nettstedet, tester vi fortsatt på tvers av alle Facebook-plattformer og håper å kunne tilby dette som en valgmuligheten for våre mobile brukere i løpet av de kommende månedene, sier en talsperson for Facebook til The Register. Selskapet ber dog brukerne om å vise forsiktighet dersom det benyttes usikre WLAN-tjenester.

– Vi planlegger å begynne å kryptere trafikk til Google Calendar i Android i en framtidig vedlikeholdsutgivelse. Dersom mulig, anbefaler vi bruk av krypterte WLAN-nettverk, uttaler en talsperson for Google. Ifølge The Register skal talspersonen ikke ha nevnt noen tidsplan for denne utgivelsen.

Wallace skal også ha testet flere andre Android-applikasjoner, men det eneste oppsiktsvekkende han fant av at både SoundHound og ShopSaavy sender nøyaktige GPS-koordinater når brukeren benytter applikasjonene. Dersom GPS-støtten er deaktivert, vil det sendes mindre nøyaktige posisjonsdata, basert på blant annet triangulering av mobilnettets basestasjoner.

I testen ble det benyttet en Motorola Droid X med Android 2.2.1.

Til toppen