Den magtfulde tyske Chaos Computer Club (CCC) hævder nu at man har fået fat i den software, også kaldet bundestrojaner eller statstrojaner, som de tyske myndigheder bruger til at aflytte ip-telefoni.
Problemet for politiet er at programmer som Skype krypterer forbindelsen over nettet - derfor kan man ikke "bare" lytte med ved at plante et program hos internet-udbyderen.
Det kræver i stedet, at man smugler et program ind på en af de to computere, der bruges til at føre samtalen. Her kan man så aflytte samtalen inden den bliver krypteret og sendt ud på nettet.
Til det formål har politiet udviklet den hemmelighedsfulde bundestrojaner - en slags statsfinansieret malware.
Men Chaos Computer Club hævder nu, at programmet kan meget mere end bare aflytte telefoni på brugeren. I denne meddelelse fortæller hacker-sammenslutningen, at trojaneren åbner en bagdør på computeren og selv er i stand til at hente og installere yderligere software.
I praksis betyder det altså, at politiet har adgang til alle data på computeren og kan følge med i alt, hvad brugeren foretager sig. Det er også muligt at fjernstyre både mikrofon og kamera.
Den tyske forfatningsdomstol har ellers sat klare grænser for, hvad politiet må foretage sig på mistænktes computere. Men de funktioner, der ligger i trojaneren, går langt ud over det tilladte.
Dertil kommer, at den statsbetalte trojaner åbner meget alvorlige sikkerhedshuller på computeren, som andre kan bruge til at trænge ind. De lyd og video-data, som programmet selv sender tilbage, er kun beskyttet med svag kryptering, og styrekommandoerne er slet ikke beskyttet med kryptering.
"Vi er overrasket og chokeret over, at spionprogrammet end ikke opfylder de mest elementære sikkerhedskrav. En vilkårlig angriber kan uden videre overtage kontrollen over en computer, der er inficeret af de tyske myndigheder," siger en talsmand for CCC.
Trojanerens sikkerhedsniveau sammenlignes med at sætte kodeordet "1234" på alle inficerede computere. Det er både muligt for uvedkommende at fjernstyre statstrojaneren og sende falske data tilbage, så man f.eks. kan plante bevismateriale på en mistænkts computer.
Desuden bliver alle data og kommandoer sendt forbi en server i USA - og her er der altså risiko for, at de amerikanske myndigheder også lytter med.
Programmet skulle egentlig kun give politiet et nyt værktøj til at foretage de gammelkendte telefonaflytninger i den digitale tidsalder, hvor stadig flere samtaler føres over nettet, men CCC mener at det åbner døren til meget omfattende elektronisk overvågning af borgerne.
Flere tyske politikere forlanger nu en undersøgelse af sagen og det tyske Piratparti, der står til at få 8 pct. af stemmerne hvis der var valg nu, mener ligefrem at den tyske indenrigsminister bør træde tilbage.
Men indenrigsministeriet afviser overfor tyske medier, at den software, som CCC har undersøgt, kommer fra myndighederne.
"Hvad så siden CCC har undersøgt eller modtaget, så er der ikke tale om bundestrojaneren," siger ministeriets talsmand til tv-stationen ARD.
Hos CCC vil man ikke afsløre, hvor man har fået programmet fra, og det kan gøre det svært at bevise om der faktisk er tale om den "ægte" statstrojaner. Men hacker-klubben fastholder, at softwaren er autentisk.
