– Nesten umulig for vanlige folk å beskytte seg

Helt usynlig flyr dataene over hodet på oss. Over hele landet, og ut i den store verden, hvor-

Bzzzzt. Bzzt. Bzzzzt. Bzzt. Bzzzzt. Bzzt. Bzzz-

Det ringer i telefonen. Men selv om om du ikke trykker på den store, grønne knappen på displayet, kan mobilen allerede ha sendt avslørende data til den som forsøker å få tak i deg.

Den kan til og med ha avslørt rimelig nøyaktig hvor du befinner deg,

LEKKER DEN? Du kan ikke være helt sikker på hva mobilen din forteller omverden om deg og ditt. Foto: Lage Ask / TV 2

I mars i år ringte sikkerhetsforsker Harrison Sand til en journalist i NRK. Da oppdaget han at Telia uoppfordret fortalte ham hvilken basestasjon journalistens mobil lå nærmest.

– Vår testing viste at mange kunne ha blitt rammet, og det er åpenbart en stor risiko, sier Sand til TV 2.  

Denne uken fortalte han om funnet på Sikkerhetskonferansen i Oslo. I denne saken forklarer han for TV 2 hva du kan – og ikke kan – sikre deg mot.

NRK og selskapet Sand jobber for, Mnemonic, varslet Telia 13. april i år.  Dagen etter var feilen rettet. 

Nkom og Datatilsynet har i ettertid åpnet tilsyn mot Telia. 

– Jeg tror alle må vurdere sitt eget risikoscenario. Dette er ikke den første sårbarheten som er oppdaget, og det blir flere, sier Sand.

Kan du sikre deg mot slike feil? Eller bør du være redd for hva rektangelet du har i lomma forteller om deg bak din rygg?

Begrensede muligheter

Det er begrenset hva man gjøre for å beskytte seg mot slikt, sier Sand. 

For en skarve journalist uten Sands datasikkerhets-briller, kan det nesten virke som om beste løsning ville være å kaste telefonen på havet, og la den synke dypt.

SIKKERHETSFORSKER: Harrison Sand er spesialist innen programvare- og applikasjonssikkerhet i selskapet Mnemonic. Foto: Bjørn Roger Brevik / TV 2

– I dette tilfellet er det nesten umulig for vanlige folk å beskytte seg. Det å ikke ta med telefonen ville vært noe, men man kan ikke vente at vanlige folk gjør det.

Vil det hjelpe å simpelthen skru den av?

– I tilfellet med Telias sikkerhetshull, ville det hjulpet. Men moderne telefoner kan fortsatt sende data når de er avslått. En iPhone blir til en AirTag når den skrus av, forklarer han.

AirTags er et Apple-produkt som kan festes til verdisaker. De sender sin lokasjon kontinuerlig, for å la brukere finne igjen ting de har mistet. 

– Det er noen innstillinger som kan gjøres, men det enkleste er å bare la den ligge igjen hjemme hvis du er virkelig bekymret, sier Sand.

Det hadde heller ikke hjulpet å bruke en såkalt VPN, ifølge Sand. 

– Akkurat i dette tilfellet lå feilen i en telefonsignalprotokoll. Det er jo på et annet, separat system enn VPN-er, sier Sand.

– Men selv VPN-er er ufullkomne, legger han til.

Sand peker på at selv om telefonen din er koblet til en VPN, er fortsatt Facebook- og Google-brukeren knyttet til din identitet.

– Det VPN-en egentlig gjør, er bare å flytte IP-adressen din til et annet sted. Men hvis du presenterer deg som en person på det stedet, hjelper det egentlig ikke.

– Så det kommer litt an på hvordan du bruker en VPN, og hvilke data du sender ut gjennom den.

Sårbare apper

Sand peker på at de fleste av oss antageligvis har hundrevis av apper, hvor de fleste, med eller uten deltagelse, sporer deg.

– Selv om de ikke sporer deg for å gjøre noe skummelt, må du tenke at de personlige dataene dine finnes mange steder, og antallet som har tilgang til det øker eksponentielt.

– For hver app finnes det en potensiell sårbarhet, en feilkobling, en innsideperson som selger informasjon, eller en statlig aktør som kan ha tilgang til noen av disse systemene.

I land som har andre lover og reguleringer enn vi har i Norge, kan også politiet og myndighetene bruke disse dataene, påpeker Sand. 

– Så dataene havner mange steder, og mange ulike personer kan få tilgang til dem, sier han.

Signal-svindlere

Men også en ekspert som Sand bruker slike apper. 

– Du har ikke gått over til brevvenner? Med penn og papir?

– Nei, ikke ennå. Jeg bruker mest Signal selv, men heller ikke det er perfekt. De holdes til en høyere standard enn mange andre apper. Likevel finner vi sånne sårbarheter hvor som helst, sier han,

I vinter advarte Telenor mot personer som på melding i Signal-appen utga seg for å være Signal selv. 

Svindlerne skrev at brukerne måtte svare med En SMS-kode for at kontoen ikke skal bli stengt. Men svindlerne bruker koden for å få tilgang til Signal-kontoen. 

Flere myndighetspersoner har mistet kontoen sin, inkludert parlamentspresidenten i Tyskland, ifølge Der Spiegel.

Bør tenke over dette

Sand er tydelig på at hver enkelt selv bør vurdere hvilken risiko de tar ved å dele lokasjon også gjennom apper.

Om man er en såkalt VIP, eller skal møte personer med viktige roller i samfunnet, bør man vurdere å legge igjen telefonen før man går ut døra.

– Jeg jobber med sikkerhet, og møter kunder som kanskje bryr seg mye om privatlivet sitt, og det er noe jeg personlig ville vurdert, sier Sand.

TILFELDIG FUNN: Harrison Sand undersøkte egentlig andre data, da han snublet over Telias sikkerhetshull. Foto: Bjørn Roger Brevik / TV 2

– Så jeg mener alle bør tenke over egen risiko. Hvem de møter. Hva slags enheter de har rundt seg. Det er noe du kontinuerlig må være obs på.

Mens andre kulturer, som for eksempel Kina, ikke prissetter eget privatliv like høyt, har dette vært et ideal i vestlige land. For noen kan likevel et svekket personvern virke som en pris verdt å betale for den beleilige moderne teknologi.

Sand er derimot ikke overbevist. 

– Det er mange ulike synspunkter der ute, fnyser han.

Han mener man trenger sterkere regulering og oversikt. De store selskapene må stilles til ansvar.