Din nye app kan mere, end du tror

Skærmbillede af turist-aflytnings-app’en, som bliver installeret hvis man begiver sig til Xinjiang-provinsen.

I denne tid, hvor det kinesiske regime har slået ned på systemkritikere i Hongkong med undertrykkende lovgivning, er det også forstemmende at læse en artikel fra New York Times om hvordan kinesiske app-udviklere udvikler apps, der reelt er malware rettet mod Android-telefoner og beregnet til overvågning af uighurerne i Xinjiang-provinsen.

Hele denne hacker-indsats har stået på siden 2013. Nogle former for overvågning er gemt i tastatur-apps, mens andre er indlejret i bl.a. apps med uighur-sprogede nyheder, skønhedstips eller religiøse tekster som Koranen (uighurerne er muslimer). Disse apps kan f.eks. tænde for telefonens mikrofon uden at brugeren opdager det, optage opkald eller eksportere fotos, GPS-data og samtaler på chat-apps.

Men også andre bliver ramt. Hvis man som udlænding rejser ind i Xinjiang-provinsen med sin smartphone, installerer grænsepolitiet en app på telefonen, der scanner telefonen for indhold og aflytter sms’er.

I Kina er grænserne mellem erhvervslivet og regimet meget uklare, og derfor er det meget uklart, hvem man reelt har med at gøre og i hvilket omfang hackerne egentlig har regimets aktive opbakning. På universiteter verden over bliver der i disse år oprettet uddannelser i cybersikkerhed, og emnet er i de seneste årtier blevet genstand for stor forskningsaktivitet. Især arbejdet med analyser af mobil kode er blevet væsentligt. Xinhua News skrev i 2019, at Kina regnede med at være førende inden for cybersikkerhed i den nærmeste fremtid. Det lyder umiddelbart lovende, for det vil formodentlig bane vejen for ganske meget forskningssamarbejde mellem Kina og omverdenen. Om det så er en god idé at samarbejde med miljøer, hvor hattene så ofte skifter farve fra hvid til sort, er en anden snak.

Min fornemmelse er, at det mest nødvendige krav til apps er, at deres kildekode bør være åbent tilgængelig og analyserbar og at man af app-butikkerne bør kræve, at de foretager sådanne sikkerhedsanalyser. Det kræver så også, at vi som forskere udvikler nye metoder til sikkerhedsanalyse af mobil kode. Der er selvfølgelig en masse spændende nye muligheder for forskning i programmeringssprog gemt her.

Men den slags tager tid. Lige nu er det sikreste formodentlig desværre ikke at tage en smartphone med, hvis man skal til Kina.

(Visited 102 times, 1 visits today)
Loading Facebook Comments ...

Skriv et svar