Om informationssäkerhet och sekretess i en allt digitalare vardag

Kryptering,Plock från veckan som varit,Säkerhet,Sårbarheter,Sekretess,Tinder

Plock från veckan som varit: Tinder säkerhetsbrister möjliggjör att spionera på dina swipe:ar

27 jan , 2018, 18.47 Linus Nyman

 

Den här veckan har kryptering varit i nyheterna igen.

Delvis genom Theresa Mays uppmaningar åt företag, under World Economic Forum, att trotsa matematikens lagar genom att trolla fram ett sätt att tillämpa trygga s.k. bakdörrar i kryptering.

Tanken är att göra det möjligt för snällisarna att spionera på dummisarnas kommunikation samtidigt som man håller alla andras kommunikation tryggad. Ett välmenande önskemål, men (som jag tagit upp tidigare) i praktiken omöjligt att tillämpa. Det finns bara två möjligheter vad gäller kryptering: allt eller inget. Allas kommunikation är säker eller ingens kommunikation är säker.

Men istället för att återigen släpa oss igenom den fantasivärld som är debatten kring ”ansvarsfull försvagning av kryptering” (eller vad det nu är politikerna kallar liknande regnbågspruttande enhörnings-omöjligheter nuförtiden) tar vi en titt på en historia från den gångna veckan som understryker varför vi alla borde bry oss om att skydda rätten till kryptering. Historien tar också upp den kanske enda bristen i kryptering.

Historien i fråga handlar om appen Tinder – en dejt-app som hjälper användare att hitta kärlek (eller liknande). Alltså en app vars användare antagligen förväntar sig en del säkerhet och sekretess vad gäller deras användande av tjänsten. Och bristen i fråga är att kryptering inte fungerar om man inte tillämpar den.

Ojdå – Tinder krypterar inte bilder

Vad jag vet så har inga politiker uppmanat Tinder att försvaga sin kryptering. Utan Tinder verkar helt självmant ha tyckt att kryptering inte var speciellt nödvändigt.

Det här fick vi lära oss genom en artikel av Andy Greenberg (publicerad den 23.1) i Wired. Han berättar att säkerhetsforskare från företaget Checkmarx har tagit en närmare titt på Tinder appen. Och resultaten var minst sagt förvånande.

Tinder visar profilbilder på andra användare. Man kan då dra fingret åt ena hållet över skärmen (vilket jag kommer att, på högsvenska, kalla att ”swipe:a”) för att visa att man är intresserad, eller åt andra hållet om man inte är det.

Bilderna i appen skickas via HTTP (Hypertext Transfer Protocol) istället för den krypterade versionen: HTTPS. (HTTPS är t.ex. den krypteringen som skyddar din kreditkortsinformation när du gör uppköp på nätet.) Vilket betyder att någon som använder samma Wi-Fi nät som du (t.ex. på ett kafé) kan se alla bilder du ser.

En dålig situation blir värre: ”Vi kan se allt”

Forskarna upptäckte även andra brister i Tinder. T.ex. att även informationen om ifall man swipe:at åt höger eller vänster – valt jo eller nej – kunde urläsas från data de lyckades samla.

Bristerna var tillräckliga att säkerhetsforskarna kunde skriva ett program som, utnyttjandes dessa brister, kunde återskapa en Tinder användares skärm.

Forskarna beskriver möjligheterna som rätt täckande (fritt översatt från originalartikelns engelska): ”Vi kan simulera precis vad användaren ser på sin skärm. Man vet allt: vad de gör, vilka deras sexuella preferenser är, mycket information.”

Råd för Tinder användare (och alla andra för den delen)

Vad betyder den här nyheten i praktiken? Inte mycket nytt, egentligen. Det är bara ännu ett exempel på riskerna med att använda sig av öppna nät. Satsa en extra slant i månaden på mobildata så du kan håll dig borta från andras Wi-Fi. Och swipe:a sedan vidare i lugn och ro.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *