Artikel top billede

Open source-mobiler er farlige - sådan passer du på

Større åbenhed på mobilplatforme giver også større sårbarhed. Virksomheder må derfor beskytte deres telefoner som deres bærbare.

Computerworld News Service: Mere åbenhed i mobiltelefonbranchen er godt nyt for applikationsudviklere, men ikke så godt nyt for it-sikkerhedsfolk, som kan lide at få en god nats søvn, lyder det fra ledere fra it-sikkerhedsbranchen torsdag i sidste uge.

Styresystemerne i mobiltelefoner har tidligere været stærkt opdelt, og teleselskaberne har haft tæt kontrol over de applikationer, der med nogen form for lethed kunne bruges på telefonerne.

Men den tilgang er ved at ændre sig, idet open source-platforme og brugervenlige online-butikker, hvor man kan købe applikationer, breder sig.

Udover Apples nyligt introducerede iPhone SDK (software development kit eller udviklings-værktøjskasse), så er Googles open source-styresystem til mobiltelefoner, Android, også snart tilgængelig, og en open source-version af Symbian er på vej.

Denne kamp kan du læse mere om her.

"Alle har nu besluttet, at udviklerne er meget vigtige for denne branches fremtid. Men hvis en udvikler kan indlæse software på en enhed, så kan en hacker også," siger Mark Kominsky, som er administrerende direktør for Bluefire Security Technologies.

"Jeg tror, at vi sandsynligvis ikke er mere end 12 til 18 måneder fra, at der sker noget stort," tilføjer han ildevarslende.

Høj båndbredder

Mobilenheder begynder at få høj båndbredde, åbne platforme og evnen til at få indlæst ny software, påpeger Kominsky.

"Dette er de kritiske elementer, der indtrådte for de bærbare, da virusser for alvor begyndte at sprede sig for omkring 20 år siden," siger han.

Symbian, som er det absolut mest udbredte styresystem til mobiltelefoner, er allerede begyndt at slås med farerne ved åbenhed over for tredjepartsudviklere, vurderer Khoi Nguyen, som er group product manager inden for mobilsikkerhed hos Symantec.

Symbian 7 og 8 var temmelig åbne og lod næsten enhver applikation blive installeret og kørt.

Dette ledte til, at flere hundrede viruser blev introduceret inden for et par år, så Symbian 9 var låst betydeligt bedre af, mener Kominsky.

Derfor kan det være svært at finde en balance

Men dette gjorde det også langt sværere og dyrere at udvikle applikationer til styresystemet - selv for en virksomhed så stor som Symantec, påpeger Nguyen.

Svært at finde en balance

Symbian og andre platformleverandører vil have svært ved at finde en balance mellem sikkerhed og åbenhed, fortsætter han.

Men denne samme fragmentering af mobilverdenen, der har stækket softwareudviklerne, beskytter stadig telefonerne fra det stormløb af angreb, man ser, mod pc'er.

Symbian har under 70 procent af markedet, fortæller Nguyen.

"Dette gør det meget svært for en hacker at udvikle en enkelt trussel, der kan køre på alle disse forskellige platforme," siger han.

Der er alligevel nogle nye typer malware, som virksomheder må holde øje med.

"Snoopware" er en form for spyware, der kan aktivere mikrofonen eller kameraet på en mobiltelefon, uden at brugeren ved det, aflytte opkald og indsamle sms'er og opkaldoversigter.

En anden type trussel, som Nguyen kalder for "pranking4profit" (altså fis-for-profit) kan narre en bruger til at tillade handlinger, der koster penge.

I et tilfælde reklamerede en hacker for en gratis webbrowser til Symbian-telefoner og overbeviste mange brugere om at downloade et stykke kode, der forårsagede, at deres telefoner sendte tusinder af de såkaldte Premium sms'er, der koster brugeren en afgift ud over normal sms-takst, til hackerens telefon.

Hver Premium sms kostede i dette tilfælde brugeren omkring 10 kroner, ifølge Nguyen.

Selvom malware kan skabe overskrifter, så er den største fare for virksomheder i forhold til mobiltelefoner faktisk tab eller tyveri af data.

Virksomheder bør beskytte deres medarbejderes telefoner på samme måde, som de beskytter en hver anden slutbrugerenhed, med de samme sikkerhedspolitikker og -krav samt sikkerhedssoftware og herudover også med en skelen til compliance, mener Nguyen.

Virksomheder bør også konstant opdatere en opgørelse over deres mobile enheder og jævnligt udgive tvungne softwareopdateringer.

For at beskytte data bør de også gøre flittig brug af kodeordsbeskyttelse, kryptering og fjernsletningsfunktionalitet, mener han.

Og sidst men ikke mindst bør virksomheder deaktivere eller afinstallere funktioner og applikationer, der ikke er påkrævede til virksomhedsbrug, ifølge Nguyen.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere