Nu sætter en amerikansk forsker et stort spørgsmålstegn ved sikkerheden på Android-platformen. Professor Dan Wallach fra Rice University har brugt en ”packet sniffer” til at analysere trafikken sendt til og fra sin Android-telefon i et trådløst netværk.
Det overraskende resultat er, at mange populære applikationer sender data uden nogen form for kryptering. Det gælder blandt andet den officielle Facebook-applikation til Android og Google Calendar.
Dan Wallach skriver i sin blog at Facebook ligesom Twitter sender stort set alt ukrypteret undtagen kodeordet. Det er ellers muligt at indstille på Facebook, at hele datatrafikken skal foregå krypteret – en ny indstilling, som Facebook har indført i kølvandet på de arabiske internet-revolutioner. Men denne indstilling gælder åbenbart ikke for Android-applikationen.
Professoren antyder også, at det måske er muligt at manipulere med datatrafikken og f.eks. indsætte falske statusopdateringer eller foretage andre ændringer i en persons Facebook-profil.
En talsmand for Facebook siger til The Register, at man arbejder på at kryptere datatrafikken til mobile enheder.
”Efter lanceringen af SSL-kryptering på sitet er vi stadig ved at teste det på alle platforme, og vi håber at vi kan tilbyde det som en valgmulighed for vores mobile brugere i de kommende måneder,” siger talsmanden.
Facebook advarer generelt mod at sende data over ubeskyttede trådløse netværk, men firmaet har ikke tidligere fortalt at smartphone-applikationen slet ikke krypterer data.
Problemet er det samme med Google Calendar, hvor alle data også sendes ukrypteret over netværket. Det betyder at uvedkommende kan få adgang til at se brugerens aftaler. Google fortæller, at man forventer at kryptere trafikken til Google Calendar under Android i den nærmeste fremtid.
Wallach har også fundet problemer med andre applikationer. Det populære SoundHound, som bruges til at genkende musik, sender åbenbart brugerens GPS-koordinater – selvom det er meget svært at se, hvad programmet skal bruge disse data til.
Det samme er tilfældet med en shopping-tjeneste kaldet ShopSaavy, men her kan man i det mindste argumentere med, at det er relevant at kende brugerens fysiske placering.
Brugeren kan selvfølgelig selv vælge at slukke for enhedens GPS og man kan også bruge et VPN til at kryptere datatransmissionen.
