North Carolina State University har genomfört ett omfattande test kring säkerheten i moderna telefoner och konstaterar att upp till 85 procent av sårbarheterna har att göra med de egna anpassningar som leverantörerna gjort. Undersökningen visar att 60 procent av säkerhetsbristerna i de tio telefonmodeller som undersökts härrör från alla de appar som telefontillverkarna förinstallerar i telefonerna.

Allra värst drabbat är mobiltelefoner med Googles operativsystem Android där en förklaring givetvis är att drygt 80 procent av alla nya telefoner har just detta operativsystem.

Symantecs säkerhetsexpert Per Hellqvist säger att undersökningen bekräftar den bild han har av läget.

– Problemet ökar dessutom av att det tar mycket lång tid innan tillverkarna får ut patcharna. Först ska Google fixa problemet. Sen ska telefontillverkaren lägga in den i sitt paket. Sist ska ofta den lokala teleoperatören lägga in den och skicka ut den vid lämpligt tillfälle. Hela proceduren ta månader och under tiden är användarna oskyddade, säger Per Hellqvist.

Inte helt förvånande är det Googles Nexus 4 som uppvisar minst antal säkerhetsbrister eftersom den inte är så överbelamrad med appar.
Bland de problem som forskarna kunde identifiera märktes appar som spelade in ljud och genomförde telefonsamtal utan användarens tillåtelse. Andra appar kunde raderade användardata och undersökningen visar att hela 85 procent av de undersökta apparna hade mycket generösa användarvillkor, något som utvecklare lagt in för att förenkla proceduren kring framtida uppdateringar.

– Att så stor del av säkerhetsproblem härrör från anpassningar och förinstallerade appar förvånade mig, säger Hugo Josefson som är seniorkonsult på utvecklingsbolaget Jayway och har ett förflutet som it-säkerhetskonsult.

Han noterar att det skiljer ganska stort mellan olika telefontillverkare och säger att det är upp till varje utvecklare att ta ansvar för kod som man programmerar eller tar in.

– Det gäller även för företaget i stort så att all kod hanterar input från olika källor korrekt och håller sig med ett minimum av säkerhetsprivilegier. I den här rapporten ser man att både Sony Mobile och HTC har säkerhetspolicies på plats och att Sony Mobile till och med tätat säkerhetsfel i Androids källkoden, vilket är jättebra.

Påståendet att det skulle vara telefontillverkarna som orsakar de flesta säkerhetsproblemen är givetvis en känslig fråga och de flesta leverantörer som Computer Sweden varit i kontakt med vill inte kommentera detta. Nicklas Sivander, nordisk försäljningschef på ZTE säger att han förstår tesen att egenutvecklade appar kan ställa till problem.

– De smartphones vi lanserat i Norden är mycket sparsamt anpassade med bara enklare appar som alarmklocka, miniräknare, filhanterare och dyligt. Vi har också ett enklare skal med endast mindre anpassningar jämför med många andra tillverkare.

Fakta

Forskare vid North Carolina State University har granskat ett antal telefonmodeller (dock långt ifrån alla) ur säkerhetssynpunkt och räknat på hur många säkerhetsluckor de uppvisar.
HTC Wildfire S: 40
Samsung Galaxy S3: 40
Samsung Galaxy S2: 39
LG P880: 26
LG P350: 17
HTC One X: 15
Google Nexus S och Sony Xperia Arc S: 8
Google Nexus 4: 3