Computer Swedens Jonas Ryberg om hur en enstaka länk kan ge tillgång till hela telefonisystemet:

När Andreas Timmelstad, it-chef på Arkitektkopia, nyligen införde Telenors mobila växel Telenor One 2.0 blev han först förvånad när han märkte att det inte behövdes någon inloggning för att komma åt röstmeddelanden via de påminnelsemejl systemet skickar ut. Än mer förvånad blev han när han upptäckte att det var samma länk som skickades ut varje gång ett nytt meddelande togs emot. Ett klart säkerhetsproblem, enligt honom.

– Jag tycker att det ansvarslöst, säger han.

Som systemet är uppbyggt får den som en gång kommit över en länk till en anställds röstbrevlåda inte bara tillgång till alla gamla meddelanden. Eftersom länken är den samma över tid så är systemet öppet för nya meddelanden som kommer efter det att länken kommit på avvägar. Metoden gör det visserligen enkelt för användarna att komma åt sina meddelanden, men Andreas Timmelstad är kritisk.

– Det finns en gräns för hur bekvämt man kan göra det för en användare och den tycker jag att de passerat, säger han.

Den som har tillgång till länken kan inte bara lyssna på röstmeddelanden. Från samma webbsida är det också möjligt att skicka sms från användarens telefonnummer och att vidarekoppla telefonen till ett annat nummer. Dessutom finns hela företagets interna telefonkatalog och i och med den också organisationsstruktur helt öppen för en illasinnad inkräktare. Varken länkarna eller själva e-breven skickas krypterat och kan stjälas till exempel genom att avlyssna nätverkstrafik.

På Telenor tycker man inte att det är något konstigt att en länk till systemet skickas ut i ett oskyddat mejl.

– Det är likadant som när man glömmer ett lösenord någonstans så skickas det också i ett mejl eller via ett sms, säger Alexandra Carlsson som är presstalesperson på Telenor

Andreas Timmelstad är kritisk till Telenors svar och funderar nu på hur han ska kunna stänga av funktionen med utskickade länkar.

– Det känns inte bra att ha den säkerhetsrisken öppen, säger Andreas Timmelstad.

Han får medhåll i sin kritik från Marcus Murray som är säkerhetsexpert på Truesec.

– Det är inte "best practise" när man bygger webb att skicka statiska länkar som gör att man får en inloggad upplevelse. Normalt har man kanske kakor med en viss livslängd. Att göra såhär är inte bra, säger han.

Särskilt allvarligt ser han på att systemet gör det möjligt att komma runt de tvåfaktorsystem med koder som levereras via sms eller automatiskt samtal som allt fler webbplatser inför för att öka säkerheten vid inloggning.

– Vi hittar ofta den här typen av brister hos företag som inte haft säkerhetsgranskningar. Jag kan tänka mig att om du kommer från telefonivärlden så har du inte vuxit upp i det där, säger Marcus Murray.

Telenors lösning är inte unik i branschen. De flesta leverantörer av telefonitjänster ger användaren tillgång till inkorgen på liknande sätt via en länk, men alla ger inte tillgång till så många kringfunktioner som Telenor.

Fakta

En modern röstbrevlåda i en mobil växel är inte ett isolerat system. I Telenors One-lösning ger länken till lådan tillgång till en rad funktioner även för den som inte är inloggad i systemet. Computer Sweden har från en länk vi kommit över med en Telenorkunds tillstånd bland annat kunnat:

  • Skicka sms som ser ut att komma från den aktuella kundens mobiltelefon.
  • Ta del av hela företagets interna telefonbok
  •  Lyssna av inkomna röstmeddelanden.
  •  Se samtalslistor för in och utgående samtal med telefonnummer och tidsstämplar.
  •  Vidarekoppla samtal till andra nummer