Artikel top billede

Android-apps sender data uden kryptering

Facebook kan kryptere din datatrafik, men ikke på Android.

Nu sætter en amerikansk forsker et stort spørgsmålstegn ved sikkerheden på Android-platformen. Professor Dan Wallach fra Rice University har brugt en ”packet sniffer” til at analysere trafikken sendt til og fra sin Android-telefon i et trådløst netværk.

Det overraskende resultat er, at mange populære applikationer sender data uden nogen form for kryptering. Det gælder blandt andet den officielle Facebook-applikation til Android og Google Calendar.

Dan Wallach skriver i sin blog at Facebook ligesom Twitter sender stort set alt ukrypteret undtagen kodeordet. Det er ellers muligt at indstille på Facebook, at hele datatrafikken skal foregå krypteret – en ny indstilling, som Facebook har indført i kølvandet på de arabiske internet-revolutioner. Men denne indstilling gælder åbenbart ikke for Android-applikationen.

Professoren antyder også, at det måske er muligt at manipulere med datatrafikken og f.eks. indsætte falske statusopdateringer eller foretage andre ændringer i en persons Facebook-profil.

En talsmand for Facebook siger til The Register, at man arbejder på at kryptere datatrafikken til mobile enheder.

”Efter lanceringen af SSL-kryptering på sitet er vi stadig ved at teste det på alle platforme, og vi håber at vi kan tilbyde det som en valgmulighed for vores mobile brugere i de kommende måneder,” siger talsmanden.

Facebook advarer generelt mod at sende data over ubeskyttede trådløse netværk, men firmaet har ikke tidligere fortalt at smartphone-applikationen slet ikke krypterer data.

Problemet er det samme med Google Calendar, hvor alle data også sendes ukrypteret over netværket. Det betyder at uvedkommende kan få adgang til at se brugerens aftaler. Google fortæller, at man forventer at kryptere trafikken til Google Calendar under Android i den nærmeste fremtid.

Wallach har også fundet problemer med andre applikationer. Det populære SoundHound, som bruges til at genkende musik, sender åbenbart brugerens GPS-koordinater – selvom det er meget svært at se, hvad programmet skal bruge disse data til.

Det samme er tilfældet med en shopping-tjeneste kaldet ShopSaavy, men her kan man i det mindste argumentere med, at det er relevant at kende brugerens fysiske placering.

Brugeren kan selvfølgelig selv vælge at slukke for enhedens GPS og man kan også bruge et VPN til at kryptere datatransmissionen.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Det næste GDPR-kapitel: Det skal du have fokus på i 2025

Hvad er compliance verdenens fokuspunkter for næste år? Hvilke nye tiltag skal du gøre ift. jeres GDPR-arbejde? Hvordan forholder GDPR sig til AI?

18. marts 2025 | Læs mere


IT og OT: Balancering af sikkerhed og effektivitet

Lær, hvordan du effektivt kan integrere din virksomheds Operational Technology (OT) med moderne IT-systemer. Vi fokuserer på sikkerhed og hvordan du beskytter dine mest kritiske processer mod cybertrusler. Få indsigt, værktøjer og inspiration fra eksperter og kolleger i branchen, og vær med til at forme fremtidens produktionsmiljøer.

19. marts 2025 | Læs mere


Enterprise Architecture Day 2025 - København: Compliance, cloud og AI-governance

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, sikkerhed og compliance, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

25. marts 2025 | Læs mere