Italiensk politi overvåger tusindvis af smartphones ved en fejl

Elendig kode i særlige apps, som italiensk politi bruger til at overvåge mistænkte, har nu udløst en it-skandale.

En it-sikkerhedsskandale er under opsejling i det sydlige Italien. Sikkerhedseksperter har nemlig kortlagt, hvordan apps forklædt som services fra italienske teleselskaber i virkeligheden har fungeret som skalkeskjul for mystisk kode, der har gjort tusindvis af telefoner sårbare for hackerangreb. Og der er tegn på, at det er sket ved et uheld, som det italienske politi har ansvaret for.

Men skandalen er ikke isoleret til det sydlige Italien. Den viser også, hvor store problemer, det kan give, hvis ondsindede apps kan snige sig gennem forsvarsværkerne og ind i Googles officielle app-butik til Android-telefoner.

Hullerne i Googles forsvarsværker findes formentlig ikke kun i Italien, de er lige så globale som Google. En lignende sag kunne altså også udspille sig i Danmark.

Anonyme kilder, som det amerikanske medie Motherboard har talt med, forklarer, at de pågældende apps er en del af de italienske myndigheders overvågningsarsenal. Med spionapps kan politiet følge med i, hvad mistænkte laver med deres telefoner, hvor de er henne, og hvem de kommunikerer med.

Eksperter mener dog, at programmerne er så upræcise og har så mange kodefejl, at de ikke burde være lovlige for myndighederne at anvende.

Den seneste udvikling er, at den italienske anklagemyndighed nu har ransaget kontorerne hos det firma, som angiveligt har bygget de falske apps for det italienske politi. Samtidig er hele infrastrukturen bag blevet fjernet, så de pågældende apps ikke længere kan overvåge.

Hvad kan spion-appsene?

Skaberne af de falske apps har på snedig vis forklædt dem som reklame-apps for italienske teleselskaber, som lover rabatter eller bedre service til kunderne. Men i virkeligheden downloader appen et skjult program, som hacker telefonen, uden brugeren ved, hvad der foregår.

Det skjulte program indsamler så data om dig, og åbner din telefon, så enhver på det samme trådløse net som dig, kan få adgang til at fjernstyre din telefon.

- Du tror, du henter noget legitimt, men i virkeligheden henter du noget malware, som offentliggør adgangen til din telefon for folk omkring dig, siger Magnus Klaaborg Stubman, sikkerhedsrådgiver ved IT-sikkerhedsfirmaet Improsec til DR Viden.

It-sikkerhedseksperter fra organisationen Security Without Borders har analyseret de små spionprogrammer. Ifølge dem tillader programmerne, at bagmænd kan hente lyd fra telefonernes omgivelser, optagelser af opkald, fysisk placering blandt meget andet på telefoner, der ikke har de nyeste sikkerhedsopdateringer.

Ulovlig overvågning

For hobby-hackeren derhjemme er det ulovligt at trænge ind på andres telefoner på den her måde. I visse tilfælde må italiensk politi dog gerne hacke telefoner og computere med spionapps.

Security Without Borders viser dog i deres rapport, at programmerne er så dårligt kodet, at de også ville være ulovlige for politiet at bruge. De er altså ulovlige, uanset om det er politiet eller hackere, der anvendte dem.

Programmet tjekkede ikke ordentligt, at det var havnet på den rigtige telefon, og det fjernede heller ikke sig selv igen. De to funktioner skal være til stede ved en dommergodkendt politiovervågning, for at den er lovlig.

- Appen skal tjekke telefonens unikke IMEI-nummer, før den begynder at overvåge, for at se, om det er den rette, der bliver overvåget. Men det tjek virkede ikke, så i stedet overvågede man alle, der downloadede de her apps, siger Magnus Klaaborg Stubman.

Spion-apps skader sikkerheden

Desuden efterlader programmet den ramte telefon i en meget sårbar tilstand, da programmet åbner nogle nemt tilgængelige sikkerhedshuller, som det ikke lukker igen. Telefonen bliver altså ved med at stå pivåben for alle og enhver, der har lidt teknisk indsigt og vil hacke den.

En kilde tæt på udviklingen af appen bekræfter ifølge Motherboard, at den massive overvågning nogle gange gik ud over uskyldige, der ikke skulle overvåges af politiet.

Ifølge de anonyme kilder tæt på udviklingen af spionprogrammerne, blev overvågningen af de uskyldige ikke standset. I stedet blev de brugt som "forsøgsdyr".

Hvordan havner spion-apps i Googles app-butik?

Alle og enhver kan registrere sig som udvikler i Googles app-butik. Det koster kun en engangsbetaling på 25 dollars. Man skal dog også acceptere Googles vilkår for at få sine apps distribueret i butikken. Men nogle gange slipper der nogen igennem alligevel.

- Det er jo katten efter musen, og sådan har det været i lang tid. Også selvom Google er blevet bedre til at filtrere de apps, der kommer ind i app-butikken, så er der problemer, og det vil der altid være. Der bliver hele tiden fundet på nye metoder til at komme uden om filtrene, siger Magnus Klaaborg Stubman.

Og det kan være svært at vide, hvordan de apps slipper igennem, fordi våbenkapløbet hele tiden ændrer sig.

- Vi kan se, at der er rigtig meget malware, der slipper ind på Googles app-butik. Kvaliteten af filteret er ikke der, hvor man kunne ønske det, hvor der ikke kommer noget igennem. Det er svært at vide, hvordan man slipper igennem filteret, og det er i konstant udvikling, fordi der er rigtig mange penge involveret, siger Magnus Klaaborg Stubman.

DR Viden har spurgt Google om, hvad virksomhedens reaktion på sagen er. It-giganten svarer følgende i en mail:

- Google arbejder hårdt på at sikre vores brugere imod skadelige apps, ondsindede udviklere og nye misbrugsmetoder. Vi fjernede de pågældende apps (der alle var italiensk produceret og på italiensk) fra Google Play tidligere i år, ligesom Google Play Protect har advaret de brugere, som havde installeret dem.

Kunne også ske i Danmark

Ifølge Magnus Klaaborg Stubman må man antage, at man kan bruge samme metoder til at snige en spionapp ind på Googles danske app-butik, som man kan på den italienske. Men ville dansk politi overhovedet kunne få lov til at snige forklædte apps ind for at overvåge mistænkte?

Det korte svar er ja, ifølge Lene Wacher Lentz, ph.d. stipendiat ved Juridisk Institut på Aalborg Universitet, som forsker i hvordan politiet gør brug af blandt andet hacking til at efterforske.

Men kigger man i dansk lovgivning, er der ikke nogen specifikke regler, der drejer sig om, hvornår politiet må hacke sig ind på mistænktes computere eller smartphones.

- I forhold til alle de tekniske muligheder man har i dag, har man ikke rigtig forholdt sig til det i lovgivningen, siger Lene Wacher Lentz til DR Viden.

I stedet kan politiet bruge reglerne om hemmelige ransagninger eller reglerne om dataaflæsning. Og systemet i Danmark er sådan, at hvis det er et spionprogram, falder det under reglerne for dataflæsning, og hvis det er hacking eller andre metoder, så falder det under reglerne for hemmelig ransagning.

Umuligt at sige, hvor meget dansk politi hacker

I begge tilfælde kan politiet i al hemmelighed bruge hacking og spionapps til at indhente data fra en mistænkts computer eller telefon. Politiet skal dog opfylde en række krav, før en dommer kan sige god for det, og selvom det er hemmeligt, får den mistænkte en såkaldt indgrebsadvokat, der taler den mistænktes sag, når dommeren skal afgøre, om politiet må sætte gang i at hacke.

Og Lene Wacher Lentz er ikke i tvivl om, at det danske politi og efterretningstjenester benytter sig af hacking og overvågning af mistænktes computere og smartphones. Men det er vanskeligt at kortlægge, i hvor stor udstrækning de metoder bliver brugt, da det ofte sker i hemmelighed og bag lukkede døre.

- Det svært at få at vide, hvor mange af de her kendelser politiet får. De har stort held med at holde det inde til kroppen, siger Lene Wacher Lentz

Facebook
Twitter