Gå direkt till innehåll
Smarta mobiler allvarlig säkerhetsrisk

Pressmeddelande -

Smarta mobiler allvarlig säkerhetsrisk

Radering krävs. Mobiler måste liksom datorer dataraderas med särskilda program för att all information ska rensas bort, säger Daniel Bonde på Inrego.

Smarta mobiler på andrahandsmarknaden innehåller stora mängder privat och företagshemlig information från tidigare användare. Företag eller privatpersoner som inte dataraderar sina mobiler innan de byts ut riskerar att känslig information hamnar i orätta händer och utnyttjas i skadliga syften. Det framgår av ett samarbetsprojekt mellan Inrego och Computer Sweden där totalt 50 begagnade mobiler köptes in och vittjades på information med hjälp av gratisprogram på Internet. Den forensiska analysen utfördes av IT-säkerhetsföretaget Bitsec på uppdrag av Computer Sweden. I 39 av mobilerna påträffades information från den tidigare användaren, bland annat mötesprotokoll, kundregister och bilder.

– Projektet visar tydligt på en allvarlig säkerhetslucka i hur mobiler hanteras av företag och privatpersoner. Smarta mobiler är små datorer och bör behandlas på samma sätt som datorer ur ett säkerhetsperspektiv. Även mobiler måste dataraderas med raderingsprogramvara om man vill vara säker på att ingen information ska komma på villovägar när mobilerna byts ut eller säljs. Det räcker inte att göra en fabriksåterställning, säger Daniel Bonde, IT- och säkerhetschef på Inrego som är specialiserat på återanvändning av datorer och mobiler.   

Sammanlagt 50 mobiler från sex olika tillverkare köptes in slumpmässigt under sensommaren och hösten. Inköpen inriktades mot mer avancerade mobiler som använts av medarbetare i organisationer/företag.  

Därefter har IT-säkerhetsföretaget Bitsec på uppdrag av Computer Sweden genomfört en forensisk utredning och analys av mobilernas minnen med hjälp av gratisprogram på nätet och som kan användas av vem som helst med grundläggande kunskaper på området.

Under genomgången av mobilerna kunde information från tidigare ägare/användare återskapas i 39 av de 50 mobilerna. I en tredjedel av mobilerna, 16 stycken, upptäcktes information av känslig natur.

I dessa mobiler påträffades tusentals filer, bland annat kundregister, mötesprotokoll, presentationer, försäljningsstatistik från företag, mejlkorrespondens, lönebesked, privata bilder, produktdata, bilder av sexuell natur, CV:n med mera. Ett stort antal företag och individer kunde identifieras. 

Samtliga mobiler som innehöll data hade Symbian eller Android som operativsystem, det vill säga mobilmärken som Nokia, Samsung, Sony Ericsson och HTC.

Mobilerna var sannolikt fabriksåterställda av sin senaste ägare. Vid en återställning till fabriksinställningarna kan viss data också raderas för gott, men stora datamängder ligger i regel kvar i mobilerna och kan alltså återskapas.

– Vi är förvånande över att vi kunde hitta så mycket information och att företag uppenbarligen saknar säkerhetsrutiner för mobiler. Bara fantasin sätter gränser för vad någon med ont uppsåt skulle kunna använda informationen till, t ex att sälja kundregister till konkurrenter, utpressning mot personer,
bedrägerier och identitetsstölder. Mobiler är rena gulgruvan för kriminella, säger Wesam Dayem, forensiker på Bitsec och ansvarig för mobilanalysen.

iPhone krypterade
Han betonar att granskningen ger en överblick och att en djupare granskning av materialet, med de kommersiella program som Bitsec vanligtvis använder, skulle resultera i att betydligt fler filer och även mejl och SMS skulle kunna återskapas. Det kan vara väl investerad tid för en IT-brottsling eller främmande makt om man till exempel vet att mobilen tillhört en högt uppsatt politiker eller börs-vd.

För 11 av mobilerna var det inte möjligt att återskapa några filer alls, däribland samtliga iPhone. Om dessa endast var fabriksåterställda eller dataraderade med raderingsprogram är oklart. Här kan noteras att informationen i iPhone är krypterad till skillnad mot andra operativsystem vilket ger ett
bättre grundskydd.

– Men det är naturligtvis möjligt att knäcka krypteringen och då kan filerna återskapas. Allt är en fråga om kompetens, tid och resurser. En underrättelsetjänst är till exempel säkerligen beredd att lägga relativt stora resurser på att få fram information om man bedömer den som värdefull, säger
Wesam Dayem.

Fakta om projektet 
- Inrego och Computer Sweden (IDG) har genomfört ett forensiskt projekt för att undersöka om och i vilken omfattning kritisk affärsinformation/ privat information finns tillgänglig på smartphones på
andrahandsmarknaden och vilken säkerhetsrisk mobiler innebär, både för privatpersoner och företag. Computer Sweden anlitade Bitsec för att utföra forensisk utredning och analys av mobilerna.  

- Ett externt företag anlitades för att köpa totalt 50 begagnade under sensommaren/hösten 2012. Inköpsställen har varit Blocket,Tradera samt ett stort antal second hand-butiker i Stockholmsområdet. Mobilerna är 18-24 månader gamla.

- Inköpen har riktats in på företagsmobiler, dvs mobiler som tidigare använts av medarbetare i en organisation. För att i möjligaste mån säkerställa det har kontrollfrågor ställts i samband med
köptillfället och dessutom har endast mer avancerade och typiska företagsmobiler valts ut för inköp.

- Med de 50 mobilerna – Samsung (5 st), iPhone 3 (4 st), HTC (11 st), Nokia (9 st), Sony Ericsson (20 st) och Blackberry (1), är flertalet mobila plattformar/operativsystem representerade i studien (IOS,
Android, Windows, Symbian, Blackberry).

- Bitsec har därefter genomfört en forensisk utredning och analys av mobilerna. I arbetet att extrahera data från mobilerna använde Bitsec verktyget Foremost, ett av många förekommande gratisprogram som finns allmänt tillgängliga på nätet.   

- Efter Bitsecs utredning har mobilerna dataraderats av Inrego med programvara från Blancco.

- Samtliga personer som har hanterat mobilerna eller den information som påträffats lyder under sekretess.

Läs Computer Swedens artiklar om projektet: http://computersweden.idg.se/2.2683/1.485819/hemliga-data-kvar-i-mobilen
http://computersweden.idg.se/2.2683/1.485826/hanteringen-har-brister

För mer information:

Daniel Bonde, IT-och säkerhetschef, Inrego, mobil: 0709-524 524, e-post: daniel.bonde@inrego.se


Om Bitsec
Bitsec är ett svenskt privatägt IT-säkerhetsföretag som grundades 2006 och är specialiserat på säkerhetsgranskningar och analys inom information och säkerhet, incidenthantering samt IT-forensik. Bitsec har stor erfarenhet av att arbeta i avancerade projekt och komplexa, känsliga miljöer och stödjer alla slags organisationer vid säkerhetsincidenter genom att identifiera, motverka och utreda cyberhot som de utsätts för. Verksamheten bygger på fem pelare:

- IT-säkerhet och säkerhetsgranskningar,
- utveckling,
- IT-forensik och utredning,
- riskhantering
- samt utbildning

Bitsec har kontor i Stockholm och Karlstad och ett 30-tal anställda som säkerhetsprövas varje år. 

Ämnen

Kategorier


Inrego är specialiserat på återanvändning av datorer och annan IT-utrustning. Vi köper begagnad IT-utrustning, rekonditionerar och dataraderar produkterna och säljer dem vidare på ett ansvarsfullt sätt. Tillsammans med våra kunder såg vi till att 120 000 datorer gick till återanvändning under 2011 vilket gav en miljövinst på 5 400 ton koldioxid. Vi hjälper organisationer med IT-skiften över hela Europa och tar helhetsansvar för både installation av ny utrustning och hämtning av de produkter som fasas ut.

Inrego grundades 1995, har 60 anställda i Sverige och omsätter cirka 120 miljoner kronor. Vi är certifierade genom kvalitet: ISO-9001, miljö: ISO-14001, informationssäkerhet: ISO 27001 samt arbetsmiljö: OHSAS 18001. De senaste åren har vi tilldelats ett flertal utmärkelser, däribland Årets Superföretag (Veckans Affärer), Gasell-företag (Dagens Industri) och Swedbanks Hållbarhetspris. Läs mer på www.inrego.se  

Kontakter

Isabell Millestu

Isabell Millestu

Presskontakt Kommunikationsansvarig Kommunikation och hållbarhet +46-720923759

Relaterat innehåll

Sifo-studie: Företagen slarvar med mobilsäkerheten

Sifo-studie: Företagen slarvar med mobilsäkerheten

Majoriteten, 78 procent, av företagen och myndigheterna byter ut medarbetarnas mobiltelefoner vart tredje år eller oftare. Men bara 11 procent ser till att informationen på mobilerna raderas innan de fasas ut och riskerar därmed att känslig information hamnar i orätta händer. Det framgår av en TNS Sifo-undersökning som Inrego låtit göra.

Risk för dataläckage från universitetsdatorer

Karlstads universitet får skarp kritik från internrevisionen för säkerhetsbrister i hanteringen av de personaldatorer som fasas ut. Revisorerna anser att det finns stora risker för informationsläckage och menar att policyn och rutinerna måste ses över, skriver Nya Wermlands-Tidningen i en artikel.

Hälften missar att radera hårddisken

Hälften missar att radera hårddisken

Den brittiska myndigheten The Information Commissioners Office (ICO) granskade nyligen i vilken utsträckning känslig data finns kvar i datorer på andrahandsmarknaden. Resultatet visar på ett utbrett slarv – 48 procent av hårddiskarna innehöll information från den förre användaren, enligt en artikel i Techworld.

Inrego till Mobility 2013

I morgon torsdag arrangerar Computer Sweden en konferens om mobilitet på Moderna Museet i Stockholm, Mobility 2013. Inrego medverkar som expert under programpunkten ”Hemliga data kvar i mobilen”.

Mobiler stor säkerhetsrisk i företag och myndigheter

Bara 16 procent av företagen och myndigheterna ser till att medarbetarnas smarta mobiler raderas på information när mobilerna byts ut och riskerar därmed att känslig information hamnar i orätta händer. Det visar en TNS Sifo-studie som Inrego låtit göra bland IT-chefer på 200 företag och myndigheter i Sverige.

Vi ställer om världens IT-konsumtion till att bli hållbar

Inrego har en central roll i den cirkulära ekonomin och är ett av få exempel på företag som jobbat med cirkulär ekonomi i praktiken under en lång tid. Genom vår cirkulära affärsmodell kombinerar vi affärer med att minska resursutnyttjandet.

Inrego

Kemistvägen 3
183 79 Täby
Sverige