For de fleste av digi.nos lesere bør det ikke være ukjent, men mange dem som ser på nyhetsprogrammet 60 Minutes fikk seg trolig en vekker i forrige uke, da de ble vist hvordan sikkerhetseksperter demonstrerte hvordan de på ulike måter kunne overvåke brukere av vanlige mobil- og smarttelefoner.
I den ene demonstrasjonen viste den tyske sikkerhetseksperten Karsten Nohl, som spesielt kjent for sin hacking av GSM-teknologi, at han kunne avlytte mobilsamtalene til amerikanske kongressmedlemmet Ted Lieu, bare ved å kjenne mobilnummeret.
Mobilen Lieu brukte, var en iPhone. Men det samme kunne også ha blitt gjort med hvilken som helst annen mobiltelefon. For sårbarheten som Nohl og hans kolleger i Security Research Lab utnyttet, finnes i SS7 (Signalling System No. 7), det aldrende systemet som digi.no har omtalt blant annet i en rekke saker, etter at Telenors mobilnett var utslått i flere timer i midten av februar.
Kan vi stole på teknologien?
I tillegg til å avlytte samtalene, kunne Nohl også spore bevegelsene til kongressmedlemmet ved hjelp av samme løsning.
– Jeg tror ikke gjennomsnittspersonen vil være utsatt for den typen angrep som ble vist her i dag. Målet vårt var å vise hva som er mulig, slik at folk virkelig kan forstå hva som vil være situasjonen i verden dersom vi ikke gjør noe med sikkerhetsproblemene. Det betyr at vi ikke kan stole på teknologien vi bruker, sier Nohl.
I reportasjen mer enn antydes det at etterretningstjenester skal være godt kjent med disse sårbarhetene og kanskje jobber for at de ikke skal bli fjernet.
Kongressmedlemmet Lieu mener derimot man ikke kan ha det slik at det globale brukerfellesskapet skal være utsatt for risiko for å bli avlyttet, bare fordi noen etterretningstjenester skal kunne få tilgang til noen data.
Overtok mobilkameraet
I reportasjen demonstrerer også en gruppe hackere, blant annet John Hering – grunnleggeren av mobilsikkerhetsselskapet Lookout, hvordan de kan få kontroll over kameraet på Android-mobilen til reporteren. Men bortsett fra at reporteren mottar en tekstmelding med en lenke til noe skadevare, sies det lite om hvordan det hele gjøres.
I utgangspunktet vil ikke skadevaren kunne installeres på Android-mobiler uten at brukeren selv har åpnet for installasjon av apper fra «ukjente kilder». Men dette omtales ikke i reportasjen.
På spørsmål om alt kan hackes, svarer Hering at det kun handler om å finne ut hvordan dette kan gjøres. Han hevder også at vi alle allerede har blitt utsatt for hacking.
– Det finnes to typer bedrifter og mennesker – de som har blitt hacket og innser dette, og de som har blitt hacket og ikke vet om det, sier Hering.
Hele reportasjen er tilgjengelig her.
