Daglig leder Wilfried Hafner i det tyske IT-sikkerhetsselskapet SecurStar er kjent internasjonalt for sine kryptobaserte hjelpemidler, hvorav mange er framstilt i gratisvarianter med fri nedlasting.
31. oktober sendte Hafner ut en pressemelding på tysk, der han beskrev en mobiltrojaner han selv hadde framstilt, for demonstrasjonsformål. Han har siden demonstrert trojaneren RexSpy på et arrangement i München, og 15. november sendte han ut pressemeldingen på engelsk: First Serious Threat to Cellular Phones Causes Quite a Stir: RexSpy - King of Trojan Spies.
Det nye med RexSpy er ikke selve funksjonaliteten: Den kan avlytte alle samtaler på den infiserte mobiltelefonen, og også videresende, uten at brukeren merker det, alle SMS, avtaler og kontaktlister. Det samme kan det kommersielle programmet FlexiSpy.
Les også:
- [26.08.2009] Dødsstøt for all mobilsikkerhet
- [01.02.2007] To nye måter å krasje Windows-mobiler på
- [04.12.2006] FBI bruker mobiler til romavlytting
- [30.03.2006] Tilbyr første spion-program for mobiler
Det nye med RexSpy er at installasjonen ikke krever fysisk tilgang til offerets mobiltelefon. RexSpy installeres gjennom en såkalt tjeneste-SMS, altså en spesiell type SMS som operatører bruker for å oppdatere telefonen. En tjeneste-SMS leverer et binært budskap, og mottakeren merker ikke når den kommer.
Hafner hevder at det ikke finnes noe på en mobiltelefon for å sjekke at en tjeneste-SMS kommer fra mobiloperatøren. Derfor går falske tjeneste-SMS-er rett inn til mobiltelefonens kjerne og legger igjen sin kode der.
Med andre ord: Hafner hevder å ha oppdaget en gigantisk sårbarhet som hvem som helst vil kunne utnytte for å avlytte enhver mobilbruker.
Britiske TechWorld har prøvd å få Hafner til å beskrive dette nærmere enn han gjør i pressemeldingen.
Hafner sier at han oppdaget sårbarheten på en eldre mobil, en Siemens C45, og at han siden har bekreftet den på en Nokia E90 og en Qtek med Windows Mobile 2005. Ingen av disse prøvde å autentisere avsendere av tjeneste-SMS-en.
Problemet her er at Hafner har nektet å la andre prøve RexSpy. Han har heller ikke gitt mobiloperatørene innsyn i koden slik at de kan verne sine abonnenter mot avlytting.
Derimot reklamerer Hafner friskt for hvordan hans egne produkter kan verne mot RexSpy og alle tilsvarende SMS-leverte trojanere, både i pressemeldingen, og fra nettstedet til SecurStar.
TechWorld har innhentet uttalelser fra Vodafone, Orange og GSM Association. De to operatørene sier de er klar over muligheten for falske tjeneste-SMS-er, at de ikke har registrert noen tilfeller blant sine kunder, at informasjonen de har fått ikke gir grunnlag for videre kommentar, og at de mener å ha tatt de nødvendige tiltakene for å avverge en mulig trussel mot abonnentene – uten å gå i detaljer. GSM Association sier informasjonen ikke er tilstrekkelig til å gjøre seg opp noen oppfatning, men at de fortsetter å granske saken.
GSM Association peker på at bruk av RexSpy vil være et kriminelt brudd mot personvernet, og at de som prøver seg, kan vente svært hard straff.
IT-sikkerhetsselskapet Sophos peker på at det burde være mulig for operatørene å blokkere falske tjeneste-SMS-er fordi disse må gå gjennom deres egne kommunikasjonssentraler.
