Redan när Mark Zuckerberg presenterade den nya appen Facebook Home började varningarna om potentiella säkerhetshål att dyka upp på nätet. Det fick en grupp säkerhetsspecialister på konsultföretaget Knowit att titta närmare på saken. De upptäckte ganska snart att det mesta var grundat på tyckande, så därför bestämde de sig för att göra egna tester av den. Till att börja med testades en läckt beta, men den övergavs ganska snart till förmån för den officiella versionen för USA-marknaden.

Den omedelbara upptäckten är att Facebook Home kräver en mycket hög behörighet till Androidmobilen när den installeras.

– Det går att beskriva som att den nästan ger all in till kamera, sms, vilka appar som är installerade, chatt och mycket mer. Appen kräver tillgång till alla information i telefonen, säger Åsa Schwarz, som är en av säkerhetskonsulterna.

Hon framhåller att även om Facebook är rent, så kan någon med onda avsikter och som hackar appen ta sig in i ett företags nätverk. Gruppen av säkerhetskonsulter framhåller att testerna är gjorda med hjälp av en emulator. Testerna har alltså inte modifierat något, utan bara lyssnat på trafiken till Facebooks servrar.

– Det är en viktig gräns. Om vi gjort det skulle vi ha gjort något olagligt, säger Anders Olsson, som är en av säkerhetskonsulterna på Knowit.

Han framhåller att gruppen har uppdagat strukturella problem, som gör att Facebook kan vara extra sårbart. Numera anropar Facebooks appar, sedan företaget övergav html5, Facebooks servrar med sql. Det kommer en strid ström av upptäckta sårbarheter, som kan utnyttjas av hackare och virus.

Dagen innan Säkerhet24 träffar gruppen på Knowit publicerade en forskare i USA, tre nya allvarliga sårbarheter i Facebook. Han informerade Facebook först, så att företaget kunde rätta till dem.

– Men problemet är att vi aldrig får reda på hur länge sårbarheterna har funnits, säger Åsa Schwarz.

Det finns alltså många sårbarheter i Facebooks appar, och i appar i allmänhet. Kalle Selin, som också är säkerhetskonsult på Knowit, är inte förvånad. Facebook är skrivet i php och har en miljard användare.

– Den är monstruös, säger Kalle Selin.

David Johansson, som också ingår i säkerhetsgruppen, poängterar att möjligheten att komma åt ett företagsnät genom sårbarheter i Facebook Home, beror på hur mobilen är kopplad till nätverket. Hans allmänna råd är därför att alltid köra privata mobiler och andra okända klienter i nät som är separerade från företagsnäten. Han noterar också att det finns rapporter om att när Facebook Home körs på vissa mobilfabrikat, så åsidosätts låsningen, det vill säga pin-koden kopplas ur.

Fakta

Det ska finnas en väl genomtänkt policy för mobila enheter på företaget, både för användning och anslutning. Den ska spegla verksamhetens behov av säkerhet. Företag bör skilja mellan privatägda telefoner och företagsägda telefoner.

Företagsägda telefoner:
- bör hanteras på samma sätt som bärbara datorer och levereras med förinställda säkerhetsprofiler.
- bör ha ett MDM-system (Mobile Device Management) som säkerställer att alla mobiler uppfyller företagets säkerhetskrav.
- bör kommunicera med företagsnätet via VPN men var vaksam så att lösningen inte möjliggör att en angripare kan ta sig in i företagsnätet via VPN-tunneln.

Man bör vänta med att installera nya appar tills en stor grupp av användare har hunnit testa dem. Företag med höga säkerhetskrav bör överväga att begränsa vilka appar som får installeras på mobiler och säkerhetstesta dem före driftsättning.

Privatägda telefoner:
- ska sitta på ett separat nät med begränsad åtkomst mot företagets nät.
- För åtkomst till företagsrelaterade tjänster bör man överväga lösningar med en så kallad sandbox, en säker miljö i mobilen där företagsrelaterade applikationer körs.

Källa: Knowit