Å lese jobbmail på mobilen kan være risikabelt.
Å lese jobbmail på mobilen kan være risikabelt. androinica.com

Pass deg!

Hacker avdekket kjempehull.

Leser du jobbmail på mobilen? Da bør både du og arbeidsgiveren din tenke dere om.

Sårbar Outlook
På hackerkonferansen Black Hat kunne nemlig Peter Hannay demonstrere hvor enkelt det er å lure telefoner og nettbrett til å logge seg inn på en falsk Exchange-konto.

Microsoft Exchange er som kjent den mest brukte kalender- og epost-programvaren i bedrifter. Og svært mange bruker Outlook når de skal oppdatere seg på jobben.

Men i det øyeblikket du flytter kontoret ut på mobilen, åpner det seg et vell av muligheter for eventuelle banditter der ute.

Ikke så nøye
Ifølge Hannay er ikke Microsoft så nøye på om det såkalte SSL-sertifikatet (Secure Sockets Layer) virkelig er gyldig eller ikke.

Dermed er det mulig å sette opp en falsk Exchange-tjener som man kan lure mobilbrukere inn på.

– Burde si nei
- Den viktigste svakheten ligger i måten klienter på mobile enheter behandler kryptering og sertifikater. Klientene burde isteden si: «Dette sertifikatet stemmer ikke. Ingen av detaljene er riktige. Derfor vil jeg ikke koble meg på», sier Hannay til Ars Technica.

Han brukte bare 40 linjer med Python-kode på å komme seg gjennom SSL-sikkerheten.

Ser på saken
Ironisk nok er SSL-sertifikatene nettopp laget for å avverge slike såkalte «mannen i midten»-angrep. Mobiltelefoner og nettbrett skal bare kunne koble seg til tjeneren dersom sertifikatet på den samme serveren har en gyldig og kryptert nøkkel som forteller at tjeneren er den riktige.

Hannays eksperiment viser at dette ikke alltid er tilfelle.

Microsoft sier at de er orientert om problemet, og at ansatte i deres Exchange-avdeling nå studerer Hannays funn nøye.

Diskutér dette temaet

Velkommen til diskusjon på ITavisen. Her kan du skrive det du mener, men husk at mange leser det du skriver. Vi forventer en saklig tone, og at debattantene holder seg til temaet. Det er ingen selvfølge å få publisert innlegg her, og ITavisen forbeholder seg retten til å slette/moderere innlegg uten å begrunne dette. Skrivefeil ser vi helst at du melder fram om til journalisten direkte via e-post (klikk på navnet).

Vær obs på at vi så raskt vi oppdager dem vil fjerne innlegg som inneholder:

  • Falsk identitet eller kallenavn som allerede er i bruk
  • Trakassering og utskjelling av meddebattanter, enkeltpersoner eller grupper
  • Rasistiske utsagn, bannskap, trusler eller generelt hatske meldinger

ITavisens kommentarfelt er stengt mandag til torsdag mellom kl. 22 og 8, og i helgene fra fredag kl. 20 til mandag kl. 8.

Mer om vilkårene her