Man kan godt hacke sig ind i almindelige menneskers telefoner via Bluetooth. Sådan lyder det fra en række eksperter i cybersikkerhed. Men hvor stor den risiko er, og hvordan danskerne bør forholde sig til det, er der mere uenighed om.
Debatten har rejst sig, efter at Information onsdag kunne fortælle, at Udenrigsministeriet har forbudt ansatte at downloade den statslige coronasmitteapp på deres arbejdstelefoner – netop fordi appen kræver, at Bluetooth er tændt konstant.
Ifølge ministeriet er Bluetooth en »åben kanal, der er relativt let at penetrere for udefrakommende«, som direktøren for organisation og borgerservice i Udenrigsministeriet har sagt til Information.
Men om almindelige mennesker også bør være bekymrede for brugen af Bluetooth afhænger af, hvilke oplysninger, de ligger inde med, og om de er særligt udsatte. Det vurderer Alex Holst, der til daglig rådgiver organisationer om it-sikkerhed og ejer virksomheden Holst Sikkerhed.
»Problemet er nok, at flere mennesker er udsatte uden at vide det – flere end man tror.«
Spørger man Jens Monrad, der er ekspert i it-sikkerhed og chefanalytiker hos cybersikkerhedsfirmaet FireEye, er risikoen for almindelige mennesker lille. Det kan godt lade sig gøre at hacke folk gennem Bluetooth, »men der findes mange andre måder, der er lettere at gå til«, siger han. Og det bekymrer ham ikke, at over 700.000 danskere, som har downloadet appen, nu har Bluetooth tændt mere eller mindre konstant.
Anderledes bekymret er ekspert i cybersikkerhed Henrik Kramselund, der ikke selv vil installere appen og mener, at man altid bør slukke Bluetooth, når man ikke bruger det. Onsdag kaldte han det »en skidt situation«, at så mange danskere nu har Bluetooth tændt.
De fire uafhængige eksperter, Information har talt med, forstår alle Udenrigsministeriets beslutning om at forbyde brugen af Bluetooth. Jesper Lund, som er formand for IT-Politisk forening, mener dog, at det er en overdrivelse, når udenrigsministeriet kalder Bluetooth en »åben kanal«.
»Udtalelsen kan give indtryk af, at det vælter ind med malware (uønsket software, der gør skadelige ting, red.) så snart man har Bluetooth tændt, og det gør det ikke,« siger han.
Mange er i risikogruppen
Også Alex Horst mener, at risikoen for at blive udsat for kriminalitet gennem Bluetooth er lav, så længe man ikke er »udsat« og ligger inde med følsomme data, som andre har interesse i at få adgang til. Men han mener også, at mange måske ikke ved, at de faktisk er udsatte:
»Hvis du nu arbejder i sundhed-, tele- eller energisektoren, så er man et interessant mål i sig selv.«
Alle disse erhverv giver nemlig adgang til personfølsomme data. Og det samme kunne man sige om en helt almindelig lærer, mener Alex Holst. Gennem skolernes komunikationsplatform Aula har de nemlig adgang til følsomme data om elever og forældre, som ikke ikke må komme ud.
Alex Holst understreger dog, at for manges vedkommende vil der være en række andre sikkerhedsproblemer, der udgør en større risiko, og som man bør forholde sig til først, hvis man vil sikre sine følsomme data.
Jens Monrad er enig i, at Bluetooth kan bruges som en vej til at få fat i andre folks private informationer.
»Men der findes mange andre måder, der er lettere at gå til, som vi ser i dag. At sende falske e-mails er jo for eksempel lettere end at sætte noget udstyr op, der kan fange Bluetooth-signaler og stjæle kontaktoplysninger,« siger han.
Ifølge ham er alle veje ind i telefonen principielt en risiko, når vi taler cybersikkerhed. Intet er fuldstændig sikkert.
»Men jeg ville ikke forvente, at det er gennem Bluetooth, vi ser de største udfordringer. Også fordi, det kræver, at man er ret tæt på sit offer for at virke.«
Bluetooth 24/7
Efter at ekspert i cybersikkerhed Henrik Kramselund onsdag udtalte i Information, at det er »problematisk«, at tusinder af borgere nu har Bluetooth tændt konstant, har flere påpeget, at mange danskere i forvejen har Bluetooth tændt for eksempel i forbindelse med brug af trådløse højttalere.
Men det er ikke et godt argument imod kritikken af appen, mener Kramselund:
»Folk spørger, om man så også skal slukke for sin Bluetooth-højtaler. Og ja, man bør da overveje, om det er en god idé at have slået Bluetooth til hele tiden der,« siger han og fortsætter:
»Min holdning er altid, at man skal slukke for Bluetooth, når man ikke bruger det. Men der er en stor forskel ved appen og en højttaler, fordi Bluetooth skal være slået til 24/7 for at appen virker efter hensigten,« siger Henrik Kramselund.
Android-brugere mest udsatte
Nogle telefoner er mere usikre med Bluetooth tændt end andre. Jesper Lund påpeger, at appen er mere sikker på en iPhone end på en gammel Android-telefon.
Det skyldes graden af sikkerhedshuller i din telefons software. Der skal nemlig to ting til for at angribe en telefon gennem Bluetooth. Ud over at Bluetooth skal være tændt, skal der være et sikkerhedshul.
Når Apple og Google finder sikkerhedshuller, fjerner de dem med nye opdateringer. Derfor er man godt beskyttet, hvis man jævnligt opdaterer sin telefon. Men i forhold til installation af smittestop-appen har Apple og Google valgt at gå to forskellige veje, og det har gjort Android-brugere mere sårbare end iPhone-brugere.
For at installere smittestopappen på en iPhone, skal man nemlig opdatere sin telefon til det seneste styresystem, men det behøver man ikke på Android. Her kan telefoner helt tilbage til Android 6-styresystemet fra 2015 bruge appen.
»Det er svært at vurdere, hvad risikoen er for dem, der har en Android uden den nyeste version af styresystemet, men hvis du har en gammel Android-telefon, som ikke er opdateret, vil risikoen ved at bruge Bluetooth være større end med en ny telefon, fordi der vil være sikkerhedshuller, der ikke er repareret,« siger Jesper Lund.
For Jens Monrad har diskussionen de seneste dage haft en positivt effekt i forhold til vores opmærksomhed på datasikkerhed.
»Debatten er rigtig god. Det er en god måde at tale om it-sikkerhed på et menneskeligt plan, og jeg synes det er fint, hvis den almindelige dansker begynder at overveje, hvad Bluetooth gør, og om de skal have det tændt.«
Bluetooth er sikker nok i usynlig tilstand (modsat discovery mode). Forudsat at der ikke findes 0days (ikke-offentlige sikkerhedshuller). Bluetooth er krypteret som forbindelse og er lige så sikker som HTTPS, der bruges til netbank og stort set al internettrafik efterhånden, såfremt der heller ikke findes 0days her (Heartbleed var en meget omtalt og kritisk en af slagsen).
Bluetooth er forløberen for 5G netværket.
1. Hvem kan i grunden kaldes eksperter i it-sikkerhed? - Er man ekspert, når man er ejer af eller har en ledende stilling i et it-sikkerhedsfirma? Muligvis nok, men det at eje eller være ledende medarbejder i et it-firma, gør i hvert fald ikke den pågældende til UAFHÆNGIG ekspert. Er man ekspert, når Information uden nogen reference til kvalifikationer erklærer een til ekspert, men hvor den eneste merit, der nævnes, er, at vedkommende ikke vil have en bestemt app på sin egen telefon?
2. Hvor grundigt er denne artikel researched? - En af de såkaldte eksperter slipper fx af sted med at sige, at man er mål for forsøg på indbrud i sin telefon via BlueTooth, hvis man arbejder i sundhedssektoren. Men herregud. Sikke et argument. Jeg arbejder i sundhedssektoren, men går da ikke rundt med personfølsomme data om patienter eller andre på min telefon. Den slags kan jeg naturligvis kun tilgå gennem de systemer som sygehuset har opstillet til dette og som kræver at man er logget på gennem flere sikkerhedstrin og endvidere har et legitimt formål med at tilgå de pågældende oplysninger. Hvis man tror jeg kan tilgå den slags oplysninger fra den private telefon, som jeg går med i lommen, kan man ikke være meget ekspert i it-sikkerhed.
3. Til eftertanke anbefales Lasse Jensens artikel fra 25. juni "Det ville klæde medierne ikke at skamride eksperttitlen...." - og ikke kun under coronakrisen, men i al almindelighed. Brugen af såkaldte eksperter er efterhånden ikke til at skelne fra anvendelse af stråmænd, hvor man ophøjer dem til eksperter, man er enige med, eller som støtter journalistens vinkling på historien. UAFHÆNGIGE eksperter må som minimum være uden forretningsmæssige interesser i den sag, de udtaler sig om. Og dette er avisens og ikke de påståede eksperters ansvar.
Som Markus påpeger: Bluetooth er ikke i sig selv farlig. Dårlige implementeringer af bluetooth kan skabe problemer, men uforsigtige brugere er den eneste udbredte risiko ved bluetooth.
Kort sagt: Lad være med at acceptere forbindelse, du ikke selv har initieret - og i så fald kun fra den enhed, du forventer at forbinde til.
ja, det 'gode sikre liv' er: at slukke sin enhed, når man ikke bruger den og altid om natten.
Problemet er ikke så meget det du ved bliver indsamlet om dig og som du tror du kan lukke ned for. Problemet er alt det der bliver samlet ind om dig uden du ved det. Og måske mest af alt, hvad det bliver brugt til nu og ikke mindst for fremtiden. Hvad der umiddelbart synes uskyldig kan ende med at blive misbrugt. Det er værd at huske, at i den digitale verden er du helt uden kontrol over konsekvenser af dine handlinger.