Säkerhet - Mobilappar

SJ läcker info om användare

Under morgonen har det blivit känt att SJ läcker känslig information om användarna via ett odokumenterat API i de två mobilappar som lanserades i tisdags.

Publicerad Senast uppdaterad

UPPDATERAT: SJ HAR TÄTAT DEN ALLVARLIGASTE SÄKERHETSBRISTEN. LÄS MER OM DETTA HÄR.

Utvecklaren Erik Petterson upptäckte redan igår att SJ öppet exponerar ett tidigare okänt och odokumenterat API i sina mobilappar för Android och Iphone. Imorse blev det också känt att apparna visar användarens unika ID i klartext, eftersom all kommunikation med backbone går okrypterad.

Mobil Business ringde upp Thomas Mann, som är ansvarig för IT och backbone på SJ. Trots att informationen om informationsläckaget varit änt för SJs marknadsavdelning under flera timmar, är det första gången som Thomas blir konfronterad med uppgifterna. Thomas Mann återkommer senare och svarar på redaktionens frågor:

Hur kunde det här inträffa?

- Det vet jag inte, vi håller på att utreda det just nu.

Har ni utvecklat API:et internt?

- Nej det har skötts av externa konsulter.

Vilket bolag är det som har stått för utvecklingen?

- Det vill jag inte kommentera.

Kommer ni att låta apparna ligga kvar tills felet är åtgärdat?

- Det är alltid en avvägning om vad som är bäst i det aktuella läget. Det här felet är relativt snabbt åtgärdat och vi kommer uppdatera apparna inom kort. Vi kommer sannolikt att kunna lösa bristerna i den nuvarande versionen utan att ta ner apparna.

Kommer ni att dokumentera API:erna själva så att de görs tillgängliga officiellt för tredjepartsutvecklare?

- Det kan jag inte svara på just nu, men ambitionen finns där.

Redaktionen fick också tag på Erik Petterson på Improve för en kommenterar om det inträffade:

- Det är otroligt kul att SJ nu äntligen kommer med en så pass användbar app, eftersom man talat om det här sedan januari, men samtidigt tråkigt att API:et inte var helt genomtänkt. Det här är ju inte rocket science direkt, trafiken går genom vanlig http. Lyckligtvis är felet enkelt att åtgärda, det är bara att koppla på SSL. Spontant känns det väldigt slarvigt av den som utvecklat och det kan i sådan här lägen vara läge att fråga någon utanför innan man trycker på deploy-knappen. De har ju haft gott om tid under review-perioden på App Store att kontrollera fel.

Vad är det värsta som kan hända en användare vars UDID exponerats fritt?

- Om man sitter på ett öppet nät, som exempelvis "SJs egna internet ombord", kan trafiken avlyssnas. Då kan en illasinnad hacker sniffa fram ett så kallat UDID och sedan lägga in eller ta bort bevakningar. Användaren kan då alltså bli av med inställningar i appen eller blir spammad med så kallade Push Notifications. Ett mardrömscenario kan vara att man räknar ut var en användare befiner sig i realtid med utgångspunkt från den data som efterfrågas i appen. Man kan då exempelvis lokalisera en användare som är ombord på ett tåg i rörelse.

Tycker du att det är rimligt att apparna får ligga kvar på App Store och Google?

- Den här typen av ändringar kan sannolikt patchas utan att apparna tas ner. Om apparmakaren har förberett för kontinuerliga småjusteringar, så är det verkligen frågan om en mycket enkel ändring. Det är värre att ändra själva backend om det skulle krävas. Då måste helt ny binär kod skickas för godkännande i exempelvis App Store. Den exponering som vi sett verkar dock inte vara lika kritisk på Androidplattformen.