De siste ukene har sikkerhetsforskere gått ut med informasjon om i alle fall tre ulike metoder som kan utnyttes i angrep mot brukere av smartmobiler og nettbrett. Android-plattformen eller apper til denne er berørt i alle tilfellene, men også andre plattformer – ikke bare til mobile enheter – kan i noen av tilfellene også være berørt.

Forskere ved University of Michigan og Riverside-universitetet i California har oppdaget at det i Android, men sannsynligvis også operativsystemer som iOS, OS X og Windows, er mulig for ondsinnede apper å smugkikke på andre apper ved hjelp av tilstandene i brukergrensesnittet (UI). Forskerne kaller angrepstypen for «UI state inference attack». Det som gjør angrepene mulig, er at populære rammeverk for grafiske brukergrensesnitt (GUI) potensielt kan avsløre alle endringer i UI-tilstanden gjennom det som omtales som en uventet, nyoppdaget og offentlig sidekanal til det delte minnet.

– Selv om UI-tilstanden ikke avslører de nøyaktige pikslene, demonstrerer vi at dette kan utgjøre en kraftig byggestein for å åpne for mer alvorlige angrep, heter det i rapporten fra forskerne.

Endringer i UI-tilstanden kalles for Activities i Android-terminologien. Forskerne har vært i stand til å overvåke slike endringer i det delte minne og å finne samsvar mellom endringene og det de kaller for en «activity transition event», som for eksempel kan være at en bruker logger seg inn via Gmail-appen eller at en bruker tar et bilde av en sjekk med en bankapplikasjon.

Utvidet med noen få, andre sidekanaler, kan artikkelforfatterne vise at det er mulig, med temmelig høy nøyaktighet, å spore i sanntid hvilken Activity mål-applikasjon er i, heter det i en artikkel i internpublikasjonen URC Today ved UC Riverside.

For at angrepet skal lykkes, må det skje nøyaktig på det tidspunktet hvor brukeren gjør den handlingen som man ønsker at skal fanges inn. Dessuten må angrepsappen kjøres i bakgrunnen, uten at den vekker mistanke, verken under kjøring eller selve angrepet.

Sannsynligheten for at et angrep lykkes, ser ut til å henge sammen med hvor mange Activities som er mulig å gå over til fra ande Activities. Blant de appene som forskerne testet med, ga Amazons app laves suksessrate (48 prosent) fordi appen tillater at én Activity kan gå over i nesten en hvilken som helst annen Activity. Dette gjør at det er vanskelig å gjette hvilken Activity appen for øyeblikket er i.

I motsatt ende var Gmail-appen, som hvor suksessraten for angrepene var på 92 prosent.

Videoen nedenfor viser derimot en demonstrasjon av hvordan et angrep på NewEgg-appen foregår. Flere demonstrasjonsvideoer finnes på denne siden.

I forskningsartikkelen presenteres det forslag til hvordan den aktuelle sidekanalen kan elimineres. I en kommentar til BBC News sier en talskvinne for Google at tredjepartsforskning som dette er blant det som bidrar til å gjøre Android sterkere og sikrere.

Forskerne presenterte sine oppdagelser under USENIX Security ’14-konferansen som ble arrangert i San Diego i midten av forrige uke.

Avlytting via gyroskopet
Også den neste angrepsmetoden ble presentert under denne konferansen, men ble omtalt av Wired noe tidligere i august.

Så godt som alle moderne smartmobiler er utstyrt med et gyroskop for å måle enhetens orientering og endringer i denne. Men forskere ved Stanford University i USA og Rafael Advanced Defense Systems i Israel har utviklet en Android-applikasjon, Gyrophone, som kan bruke gyroskopet i smartmobiler til å fange opp samtaler i omgivelsene. Siden bruk av gyroskopet ikke krever noen spesielle tillatelser av de vanligste smartmobil-systemene, kan dette i teorien gjøres at brukeren får mistanker om uvanlig aktivitet.

– Når du gir noen tilgang til sensorer i en enhet, vil du få utilsiktede konsenser, sier Dan Boneh, informatikkprofessor ved Stanford og en av forfatterne av forskningsartikkelen, til Wired.

– I dette tilfellet er de utilsiktede konsekvensene at de kan fange opp ikke bare telefonens vibrasjoner, men også vibrasjoner i luften.

På Android-enheter tillates applikasjoner å lese av gyroskopet med en samplingfrekvens for gyroskopet på 200 Hz. Stemmene til voksne personer ligger vanligvis i området 85 til 255 Hz, avhengig av blant annet kjønn. Det betyr at gyroskopet kan fange opp en ikke ubetydelig del av disse stemmene. Selv om resultatet ikke vil være gjenkjennelig for et menneskeøre, har Gyrophone-appen talegjenkjenningsfunksjonalitet som er designet for å tolke nettopp dette.

På enheter med iOS er det vanskeligere å utnytte gyroskopet til å avlytte samtaler fordi samplingraten er begrenset til 100 Hz. De fleste nettlesere til begge plattformer lar webapplikasjoner bare lese av gyroskopet mellom 20 og 25 ganger i sekundet. Men Firefox for Android har ikke en slik begrensning, noe som gjør at webapplikasjoner som åpnes i denne nettleseren kan lese av med full samplingrate, altså 200 ganger i sekundet.

Til Wired sier Boneh at teknikken forskerne har utvidet på ingen måte er perfekt, og at den bare kan gjenkjenne et ord her og der. Men han understreker at forskergruppen er eksperter innen sikkerhet, ikke talegjenkjenning. De har derfor ikke som mål å perfeksjonere teknikken eller appen. Målet har derimot vært å fortelle om hvilke muligheter gyroskoper kan ha som spionteknologi.

– Det er ingen grunn til at dataspill skal ha behov for å lese av gyroskopet 200 ganger i sekundet, sier Boneh til Wired.

Problemet i Android er altså enkelt å løse fra Googles side, ved å begrense hvor hyppig applikasjoner får avlese gyroskopet til for eksempel 100 Hz, tilsvarende iOS. Om oppdateringen vil nå ut til selve enhetene, avhenger derimot av leverandøren av den enkelte enhet.

Apper og nettverkssikkerhet
Den tredje rapporten vi har valgt å ta med i denne artikkel stammer fra IT-sikkerhetsselskapet FireEye. Selskapet har studert hvordan et stort utvalg av de mest populære appene til Android tar i bruk sikkerhetsteknologiene SSL/TLS i forbindelse med overføring av data via Internett. Feil bruk av slike teknologier gjør av kommunikasjonen mellom applikasjonene og servere kan være sårbare for Man-in-the-Middle-angrep (MITM), altså avlytting.

I analyse har FireEye sett etter om appene bruker en «trust manager» som faktisk sjekker sertifikatene fra serverne, om vertsnavnet til serveren stemmer overens med vertsnavnet som er oppgitt i sertifikatet, og om applikasjonene ignorerer SSL-feil dersom de bruker WebKit å gjengi serverbaserte websider i mobilapplikasjonene.

Blant de tusen mest nedlastede gratisapplikasjonene til Android per den 17. juli i år, sviktet 674 i minst én av deltestene. Blant annet observerte FireEye at 448 av 614 apper som bruker SSL/TLS til kommunikasjon med en server, bruker en «trust manager» som ikke sjekker sertifikatene. I en større undersøkelse med 10 000 vilkårlige gratisapplikasjoner fra Google Play, viste det seg at denne andelen lå på omtrent 40 prosent.

De to andre manglene viste seg å være mindre utbredt, selv så mange som 219 av 285 av applikasjonene som bruker WebKit eller Chrome til å vise sikre websider, ignorerer SSL-feil.

FireEye nevner spesifikt at annonsebibliotektet Flurry, som benyttes av svært mange applikasjoner, har vært blant synderne på dette området. Dette skal dog har blitt rettet i versjon av 3.4 av biblioteket, men etter alt å dømme må enhver applikasjon som benytter Flurry oppdateres for at sårbarheten skal fjernes fra den enkelte applikasjon. Ifølge FireEye har de berørte Android-applikasjonene blitt lastet til sammen minst 8,7 milliarder ganger, men Flurry benyttes også av applikasjoner til iOS. FireEyes undersøkelse har bare tatt for seg Android-applikasjoner, så det er uklart om de samme problemene gjelder iOS-utgaven av Flurry.

En enkeltapplikasjon som nevnes spesielt er Camera360 Ultimate. Denne har blitt lastet ned av minst 50 millioner Android-brukere og enda flere iOS-brukere. Det er uklart om iOS-utgaven har vært berørt, men problemene skal i alle fall ha blitt rettet i Android-utgaven.

Verre er det med en applikasjon som har blitt lastet ned fra Google Play mer enn 100 millioner ganger. Applikasjons hovedfunksjon skal være å sende interessante bilder til andre brukere. I likhet med Camera360 sjekker ikke denne applikasjonen serversertifikatene ved opprettelse av SSL-forbindelser. Årsaken til at FireEye ikke har navngitt applikasjonen, er at utgiveren har unnlatt å svare på flere henvendelser fra selskapet og at problemene ikke skal være rettet.

I rapporten nevnes ikke andre plattformer enn Android med et eneste ord. Det er derfor uklart om svak SSL/TLS-sikkerhet er mer utbredt blant Android-applikasjoner enn blant applikasjoner til andre mobile plattformer.

Skandinavias største datasenter-operatør, DigiPlex, har store planer for vekst i tiden fremover.

Selskapet bekrefter i dag at de ansetter en ny, nordisk sjef, nemlig Gisle M. Eckhoff. Eckhoff har nesten tretti år med erfaring fra IT-stillinger i USA, Sverige, Storbritannia, Danmark og Norge.

Utnevnelsen er en del av en større vekstprosess for selskapet. Først og fremst er DigiPlex i ferd med å ferdigsstille et splitter nytt datasenter i Fet. Det er fra før to datasentre i Norge som drives av selskapet, på Ulven og Rosenholm utenfor Oslo. De har også datasentre under utvikling i Storbritannia og Sverige.

DigiPlex har fokus på Skandinavia, da det nordiske klimaet er godt egnet til å drive datasentre, samt tilgang til fornybar vann- og vindkraft som sørger for miljøvennlige og effektive kraftkilder.

Alle datasentrene til DigiPlex bruker forbybare energikilder, og da først og fremst vannkraft.

Ifølge pressemeldingen kommer ansettelsen av Gisle M. Eckhoff midt i den viktige perioden med åpning av et nytt datasenter og nye vekstmuligheter i Sverige, og selskapet vil benytte seg av hans brede kunnskap om kundebehov, teknologi og internasjonal sikkerhetsutvikling.

Nesten to av tre brukere av smartmobilbrukere, 65,5 prosent, laster ned nye applikasjoner sjeldnere enn én gang i måneden. Dette viser en undersøkelse som ComScore har gjort, riktignok kun blant amerikanske mobil- og nettbrettbrukere. Den siste tredelen er derimot såpass ivrig med app-nedlastingen at gjennomsnittstallet for app-nedlasting blant alle amerikanske smartmobilbrukere er på drøyt én app i måneden.

Det er likevel slik at en gruppe på bare sju prosent av smartmobilbrukerne alene står for nesten halvparten av nedlastingen i løpet av en gitt måned.

Dette betyr ikke nødvendigvis at gruppen på 65,5 prosent ikke bruker apper. Ifølge ComScore oppgir 57 prosent av alle brukerne at de bruker apper hver eneste dag i løpet av en gitt måned, mens 79 prosent sier de gjør dette i alle fall 26 dager i måneden. Tilsvarende andeler blant nettbrettbrukerne er henholdsvis 26 og 52 prosent.

Ifølge rapporten er det også slik at mange smartmobileiere bruker veldig mye tid på bare én eller noen få apper. Av all den tiden som brukes på smartmobilen, benyttes i gjennomsnitt 42 prosent på den enkeltes favorittapp. 75 prosent av tiden brukes på de fire mest brukte appene.

Ifølge ComScore er medianinntekten blant iPhone-brukerne på 85 000 dollar, mens den er på 61 000 blant Android-brukerne. Dette speiler det faktum at mange Android-mobiler tilbys til betydelig lavere pris enn selv den billigste iPhone-modellen.

I USA er iPhone-brukerne i gjennomsnitt noe yngre enn Android-brukerne.

Type apper
De mest brukte appene til begge plattformer befinner seg innenfor noen forholdsvis få kategorier. Brukerne legger igjen nesten halvparten av tiden de bruker på mobilapper på apper i kategoriene sosiale nettverk, spill og radio.

Men det ser ut til å være en ganske stor forskjell på hva slags apper iPhone- og Android-brukerne benytter mest. iPhone-brukerne benytter mesteparten av app-tiden siden på å konsumere media. De mest brukte appene, målt i tidsbruk, er i kategoriene generelle nyheter, radio, foto, sosiale nettverk og vær.

Android-brukerne legger derimot igjen mest tid i kategorier som søk/navigasjon, e-post, spill, tv og handel. Spesielt i kategoriene søk og e-post er det Googles applikasjoner som dominerer.

Den mest installerte mobilappen i USA, uavhengig av mobilplattform, er uten tvil Facebook. Men bare en tredel av de amerikanske Facebook-brukerne har også installert Facebook Messenger. Bak Facebook følger YouTube, Google Play, Google Search, Pandora Radio, Google Maps, Gmail, Instagram, Apple Maps og Yahoo Stocks.

Facebook er også den appen de fleste bruker mest tid på, uavhengig av alder. Blant brukerne under 55 år kommer Pandora Radio på andre plass. Brukerne under 35 år bruker også en del tid på YouTube og Instagram, mens Facebook Messenger er foran blant annet disse hos brukerne som er 35 år eller eldre.

Brukerne som er 18 til 24 år gamle, bruker 3,4 prosent av app-tiden sin på Snapchat. Denne appen er ikke blant de ti mest brukte hos noen av de eldre brukergruppene.

Apples CarPlay ble først annonsert for over ett år siden, og er en løsning for å bake inn iOS-funksjonalitet inn i et bilmiljø. Bilens innebygde skjerm vil kunne vise et grensesnitt tilpasset bilbruk, og integrere navigasjon, musikkavspilling, samtaler, Siri og flere funksjoner.

Det har lenge vært planen å rulle ut CarPlay i nye modeller fra utvalgte produsenter i løpet av 2014.

Apples offisielle CarPlay-side viser fremdeles merker som Ferrari, Honda, Mercedes, Volvo og Hyundai til å være klare i år.

Mer og mer tyder imidlertid på at det ikke skjer.

Computerworld har gravd litt i status hos de forskjellige bilprodusentene, og det finnes per i dag ingen modeller som støtter CarPlay. Det ser heller ikke ut til at noen kommende modeller får det med det første.

Både Mercedes, Honda og Volvo skal ha utsatt sine CarPlay-planer til neste år. Flere av disse har uttalt seg til nettstedet 9to5mac, og bekreftet at utrullingen av funksjonene først skjer til neste år.

Den eneste av produsentene som fortsatt holder på 2014-tidsplanen er Hyundai, som sier at de ferdigstiller integrasjonen av CarPlay i disse dager.

Mange flere produsenter enn de fem er på listen over Apples partnere, men det foreligger ingen konkrete tidsplaner for disse. Audi, BMW, Ford, Jeep, Nissan, Mazda og mange andre er inkludert, og det samme gjelder utstyrsprodusentene Pioneer og Alpine.

Analyseselskapet IHS mener at Googles svar på CarPlay, Android Auto, vil på sikt bli mer populært enn Apple-løsningen. De forventer at Android Auto vil bli installert i 40 millioner biler innen år 2020, mens CarPlay vil finnes i 37 millioner biler.

Begge teknologiene vil kunne styres via berøringsskjerm, stemme eller dedikerte knapper på bilens dashboard, og skal i prinsippet ikke være veldig komplisert for bilprodusentene å integrere.

Jolla er kanskje fremdeles ikke et navn mobilbrukere flest er kjent med, men de ønsker tydeligvis å bli det.

Selskapet ble startet for noen år tilbake av tidligere Nokia-utviklere, og har hele tiden hatt mål om å revolusjonere mobilbransjen.

Deres første smartmobil, Jolla Phone, ble lansert sent i 2013, og tilgjengeligheten har vært temmelig begrenset: Mobilen var opprinnelig kun vært i salg hos operatører i Finland, Estland og Kazakhstan. Nå er den også tilgjengelig via selskapets nettbutikk (og Norge er blant landene det kan bestilles til), og den blir lansert i Hong Kong i disse dager.

Det er i forbindelse med Hong Kong-lanseringen at Jolla-sjefen Antti Saarnio kom med ganske så selvsikre uttalelser. Saarnio mener at Jolla (og operativsystemet Sailfish) er posisjonert til å ta tredjeplassen, etter Android og iOS.

Det er for tiden liten tvil om at Microsoft innehar denne tredjeplassen, selv om deres Windows Phone henger langt etter de to gigantene, Apple og Google.

Blackberrys posisjon er enda svakere, mens Jollas salgstall er strengt tatt ikke kjente for offentligheten. Det er imidlertid grunn til å tro at med tanke på den begrensede tilgjengeligheten er det ikke spesielt mange Jolla-telefoner der ute.

Jollas strategi er imidlertid annerledes: Selskapet velger å ha et litt eksklusivt omdømme, der de individuelle kundene tas vare på, og kvalitet kommer foran kvantitet. Operativsystemet, Sailfish, er også annerledes enn konkurrentene, med jevnlige oppdateringer som månedlig introduserer nye funksjoner og forbedringer.

Nå som Jolla inntar det asiatiske markedet, mener ledelsen altså at tredjeplassen er innenfor rekkevidde. I Hong Kong samarbeider selskapet med operatøren Three, og Saarnio påpeker at de er en progressiv operatør, interesserte i nye teknologier og på utkikk etter noen som vil gjøre en forskjell.

Det blir naturligvis interessant å se om Jolla på sikt lever opp til ambisjonene sine. Hjemme i Finland har de i alle fall gjort det ganske godt.

Googles mobilkonsept, Project Ara, har i det siste opplevd noen mindre forsinkelser, men også fremganger.

Dette skriver prosjektsjefen Paul Eremenko i et blogginnlegg, der har oppdaterer oss på status på prosjektet.

Project Ara er som kjent et unikt konsept der Google jobber sammen med en rekke produsenter om å designe en smarttelefon-plattform som tar utgangspunkt i komponenter som kan byttes ut av brukere. Mobilene vil essensielt bestå av klosser som kan tas ut og inn. Dermed kan brukerne endre både spesifikasjoner og utseende på smartmobilen etter behov – og etter hva de har råd til. Ett av målene til Project Ara er tross alt å gjøre smartmobiler mer tilgjengelige i nye markeder.

Den kanskje mest spennende nyheten som kommer frem er at Google vil nå jobbe sammen med brikkeprodusenten Rockchip, som er kjent for sine rimelige systembrikker.

Rockchip vil utvikle en brikke for Project Ara som er tilpasset den unike formfaktoren, der poenget er at prosessoren vil fungere som en applikasjonsprosessor, og være uavhengig av de øvrige komponentene, i stedet for å være en «hub» som er nødt til å snakke sammen med alle de andre delene.

Eremenko forteller også at den første runden med utviklingsmaskinvare, såkalte spiral 1, ble noen uker forsinket. Det har vært en produksjonsfeil i kretskortene.

Spiral 1-maskinvaren skal sendes til utviklere som vant den på Google I/O-konferansen tidligere i sommer.

Spiral 2 er neste skritt, under utvikling i disse dager, og denne innebærer ny utviklingsmaskinvare fra Googles til sine partnere, etterfulgt av en utviklingskonferanse til høsten.

Den tredje designspiralen vil inkorporere brikken til Rockchip, og vil dermed være nærmere det ferdige produktet. Disse prototypene ventes imidlertid først tidlig 2015.

Steria Norge kunne i dag kunngjøre at selskapets medarbeider nummer tusen vil starte denne uken. Dermed har selskapet doblet antallet ansatte på tre år.

– Dette er selvfølgelig en betydelig milepæl for oss og stor stas for alle som jobber i Steria. Vi vokser organisk og i takt med at vi vinner stadig flere store og krevende oppdrag både i privat og offentlig sektor, sier Kjell Rusti, administrerende direktør for Steria i Norge, i en pressemelding.

Samtidig forteller han at fusjonssamtalene med franske Sopra fortsetter, og at prosessen går etter planen. Fusjonsplaneneble kunngjort i april i år.

– Sammenslåingen vil skape en betydelig aktør på det europeiske konsulentmarkedet. Vi berøres ikke direkte av fusjonen i Norge, siden Sopra ikke har aktivitet i Skandinavia. Imidlertid har de to selskapene komplementære tjenester og en sterk kompetansedelingskultur, noe som vil gagne også vår norske kunder, mener Rusti.

Det sammenslåtte selskapet vil ha 36 000 medarbeidere og ventes å ville omsette for 3,1 milliarder euro totalt. Steria Norge ventes i år å få en omsetning på nærmere 1,5 milliarder kroner, mer enn 20 prosent mer enn i fjor.

Apple har vedkjent at kvaliteten på batteriene til en del iPhone 5-mobiler, solgt mellom september 2012 og januar 2013, ikke er av god nok kvalitet. Brukerne kan oppleve et plutselig fall i batteritiden eller et behov for at telefonen må lades hyppigere enn tidligere. Selskapet tilbyr derfor å bytte batteriet i en del slike enheter.

Mange mobileiere kan nok uansett ønske seg bedre batteritid, men ifølge Apple gjerne det aktuelle problemet bare en veldig liten prosentandel av de solgte iPhone 5-enhetene.

Apple vet hvilke serienummer de aktuelle mobilene har. Man kan skrive inn serienummeret på denne siden og få vite om telefonen kan være kvalifisert for å få nytt batteri.

Telefonen vil måtte undersøk på et verksted som er omfattet av ordningen, før batteriet eventuelt skiftes ut. Slike verksteder kan man finnes på denne siden.

Foreløpig har ordningen bare kommet i gang i USA og Kina. I resten av verden må kundene vente til fredag den 29. august før de kan levere inn sin iPhone 5 til kontroll. Før innleveringen be kundene ta backup av alle data og deretter resette telefonen med Find my iPhone-funksjonen deaktivert.

Utskiftningsprogrammet for batteriet i iPhone 5 gjelder i utgangspunktet i inntil to år etter at telefonen har blitt kjøpt, men minimum til den 1. mars 2015.