*

IT
MINE NYHEDER
Mine nyheder

Vi har ikke publiceret nogle artikler for nyligt i de emner, du følger. Søg efter andre emner her.

Du har ingen overvågninger endnu

Klik på ikonet for at overvåge
emner og journalister.

Annonce
0

Apps høster danskernes hemmelige numre

To HTX-studerende har bevist, at hemmelige numre måske ikke er så hemmelige endda.

IT
Foto: Jens Dresling

Flere af de store, danske teleselskaber sender automatisk dit mobilnummer til udvalgte samarbejdspartnere, når du surfer ind på specifikke domæner, som datalog og internetaktivist Christian Panton har demonstreret og som Version2 beskrev i sidste uge.

Nu viser det sig, at også 3. parts app, som konsekvens af dette, kan få adgang til nummeret. Vel at mærke uanset om app'en eller har tilladelse til at tilgå den slags data, og uanset om nummeret er hemmeligt eller ej.

Det fremgår af en demonstrationsvideo, som HTX-studerende Emil Stahl, der har fulgt sagen tæt, har lavet. Her viser han, hvordan en app, udviklet af Emil Stahls kammerat Jonas Boserup, kan fiske telefonnummeret ud af en iPhone, selvom app'en ikke har tilladelse til det.

At det foregår på en iPhone er i sig selv bemærkelsesværdigt. Apple tillader nemlig slet ikke, at apps får adgang til mobilens telefonnummer, fortæller Esben Thorving Bjerregaard, Solutions Architect & Partner i app-udviklingsfirmaet iDeal Development.

Esben Thorving Bjerregaard har kigget på koden bag demonstrations-app'en, og han vurderer, at teknikken, app'en anvender, ser troværdig ud.

I det konkrete tilfælde udnytter app'en, at en af teleselskabernes samarbejdspartnere, Unwire, på flere undersider har indlejret mobilnummeret i HTML-koden, når undersiderne bliver tilgået fra den mobile dataforbindelse. App'en kan derfor lave et kald til siderne og hente telefonnummeret ud.

Herefter kan numrene i princippet sendes videre og samles i en database. Uanset om brugeren har givet app'en tilladelse eller ej.

Selskabet Unwire, der blandt andet laver mobile betalingstjenester, er et af de selskaber, der har en aftale med teleoperatørerne, som betyder, at Unwire i visse tilfælde gør brug af telefonnumre, sendt via HTTP-headeren. Unwire oplyser til Version2, at virksomheden ikke har nogen kommentarer til, at en app, via Unwires hjemmesider, har kunnet fiske telefonnumre frem. Unwire har nu taget flere undersider ned, som har kunnet bruges til at eksponere telefonnumre. Version2 har dog tilgået siderne tidligere og kunnet bekræfte, at mobilnumre har været tilgængelige i HTML-koden via siderne.

Også Telenor har været igang med at rode i virksomhedens setup efter Christian Pantons demonstration. Således bliver mobilnummeret ikke længere sendt alene baseret på den såkaldte host-header. Intet tyder dog på, at det har lukket for, at en 3. parts app kan høste telefonnumre via den app, Emil Stahl demonstrerer i videoen.

Generelt er Esben Thorving Bjerregaard overrasket over, at selskaberne videresender mobil-numrene til 3. part ved at føje nummeret til HTTP-headeren efter data-pakken har forladt telefonen.

- Det synes jeg er helt uacceptabelt. Som absolut minimum bør de nævne, hver gang de sender mobilnummeret til en 3. part.

Telia, TDC og Telenor bekræfter over for Version2, at selskaberne automatisk medsender mobilnumre til det, de beskriver som betroede samarbejdspartnere, når visse url?er bliver tilgået. Det gælder også hemmelige telefonnumre. 3 anvender ikke samme metode.

Både TDC, Telia og Telenor er medlemmer af Teleindustrien. 3 er ikke. På spørgsmålet om hvorvidt selskaberne faktisk ved, hvorvidt der har fundet misbrug sted, svarer direktør for branchesamarbejdet Teleindustrien, Jakob Willer, tilbage:

- Ingen af selskaberne har kendskab til, at der har fundet misbrug sted.

Læs også