Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se, e-DN och DN.Prio.

Med ett gratiskonto kan du följa skribenter och ämnen samt bokmärka artiklar.

Ekonomi

Hemlig kod spionerar på svenskars surfvanor

Foto: Artur Marciniec/Alamy

Flera stora svenska företag och över en miljon användare har drabbats av spionage i sina datorer.

Det är dold kod i ett tilläggsprogram till Googles populära webbläsare Chrome som gör att information om användarens surfvanor ”läcker”.

Informationen tankas vidare till en server i USA. Ägaren säger till DN att han säljer vidare uppgifter om surfbeteende.

DN har i flera artiklar på senare tid avslöjat allvarliga brister i it-säkerheten hos företag, myndigheter och privatpersoner. Ofta handlar det om slarv och okunnighet som gör att servrar och modem ligger helt öppna för intrång.

I dag kan vi berätta om hur dold spionkod aktivt placerats i ett populärt programtillägg som används i Googles webbläsare Chrome.

Programtillägget heter Webpage screenshot och kan laddas ned i Googles webbutik Chrome webstore. Det marknadsförs som en ”snabb och enkel lösning” för att spara skärmdumpar av webbsidor. Den har drygt 1,2 miljoner användare och har fått bra snittbetyg – 4,5 på en 5-gradig skala.

Programtillägg, eller ”plugins”, kan liknas vid appar. De installeras i webbläsare, men utvecklas av externa aktörer.

Dolt i programtillägget finns alltså ett spionprogram.

Varje minut skickas information om användarnas surftrafik vidare till en server som är registrerad i USA, enligt Cristian Mariolini, it-expert på säkerhetsföretaget Sentor MSS, som gjort upptäckten:

– Vi övervakar våra kunders nätverk efter tecken på dataintrång. För några veckor sedan hittade vi ett konstigt mönster i trafiken hos flera företag. Efter att ha pratat med dem hittade vi denna plugin som var installerad på de datorer som betedde sig märkligt, säger Cristian Mariolini.

Webpage screenshot

DN har verifierat att det finns ett spionprogram genom att analysera Google Chrome-tilläggets källkod, alltså den kod som beskriver hur tillägget fungerar under huven. Webbläsaren får instruktioner att hela tiden skicka i väg uppgifter om vilka hemsidor som har besökts till en server i USA. Serverns ip-adress, alltså dess ”telefonnummer”, är registrerad av en privatperson som uppger en adress i Israel.

Att uppgifter skickas vidare blir även tydligt när DN analyserar nätverkstrafiken från en testdator med programtillägget installerat. Varje minut går uppgifter vidare till servern med information om alla hemsidor som vi har besökt. Det handlar framför allt om sajternas adresser och dess titel.

Flera stora svenska företag har drabbats av informationsläckor från programtillägget, enligt Sentor MSS. Säkerhetsföretaget har varit i kontakt med bolagen, men vill av säkerhetsskäl inte uppge vilka det handlar om.

Spionprogrammet skickar även data från hemsidor som har krypterade anslutningar. Någon polis­anmälan har inte gjorts. Skälet uppges vara att polisen sällan har förmågan att utreda sådana ärenden.

Innehållen i mejl och innehållet på de besökta sajterna skickas inte över. Däremot har spionprogrammet den tekniska behörigheten att samla in sådan information – om de som ligger bakom det vill.

DN har varit i kontakt med ägaren till Webpage screenshot som bekräftar att han har lagt in en kod som skickar vidare uppgifter om vilka sajter som användarna besöker. Syftet är att ”ta fram stati­stik om surfbeteenden” och sälja detta. Han säger att informationen är värdefull kommersiellt och han uppger samtidigt att det inte är användarnas enskilda besök som är intressanta, utan surfbeteenden på olika sajter sammantaget.

I informationen om programtill­lägget står det att det använder sig av ”anonym statistikinsamling”, men detta handlar alltså inte om statistikinsamling om programtill­läggets användning – utan om alla besök som en person gör.

Men ni samlar ju inte bara in data om användningen av ert programtillägg, utan från alla hemsidor. Varför?

– Jag skulle vilja lägga mer kraft åt att förbättra programtillägget, vilket är anledningen till att jag letar efter alternativa finansieringsmöjligheter, skriver utvecklaren i ett mejl till DN.

Det är också uppenbart att skaparen av programtillägget på olika sätt har försökt dölja att informationen tankas vidare.

”Spionkoden” finns inte i tilläggets källkod från början utan hämtas på internet. Adressen till koden är inte skriven i klartext, utan är uppdelad i flera olika delar för att det ska bli svårt att hitta – nästan som en rebus. Det är inte praxis i programmeringssammanhang.

Spionprogrammet aktiveras först efter en vecka, vilket gör att ingen misstänker något skumt initialt. Det är sannolikt därför det har gått igenom olika säkerhetskontroller. Dessutom kodas all surfdata så att den blir svårare att läsa.

– Det är häpnadsväckande att ett så populärt tillägg har den här typen av funktionalitet. Och det är uppenbart att människor har allt för stort förtroende för att Google har kollat de tillägg som finns i Chrome webstore. Man måste hantera det som finns i Chrome webstore på samma sätt som allt annat man laddar ned från internet, med största möjliga försiktighet, säger Cristian Mariolini.

Hur ser ni på utvecklarens kommentar om insamlingen?

– Det finns ingen logisk anledning till att pluginen skulle samla denna typ av integritetskränkande data. Datan är över huvud taget inte anonymiserad, tvärtom samlar han ju även in bland det bästa man kan använda för att identifiera männi­skor, nämligen användarnamn till e-post via titeln på sidor, säger Cristian Mariolini.

Det är oklart om det är brottsligt att samla in information på detta sätt, men det är sannolikt ett brott mot Googles regelverk där det står att spionprogram inte är tillåtet.

DN har velat ställa flera frågor till Google om omständigheterna kring spionkoden. Efter ett antal påstötningar väljer dock företaget att svara korthugget, i skriftlig form: ”Vi kommenterar generellt inte enskilda fall, men för att försäkra oss om att Chromeanvändare har bästa möjliga upplevelse så tar vi bort så kallade extentions (tillägg) som innehåller malware (sabotageprogram, DN:s anmärkning) eller som gör anspråk på att göra en sak, och gör en annan.”

Kristoffer Örstadius
kristoffer.orstadius@dn.se

Kommentar. Googles slappa inställning är ohållbar

Google måste sätta ned foten i frågan om skadlig mjukvara som sprids via dess tjänster. Den halvmesyr som är dagens policy är ohållbar, skriver DN:s techredaktör Linus Larsson.

Avlyssningen av surfvanor som DN avslöjar i dag är allvarlig. Över en miljon människor får sin trafik övervakad, loggad och skickad till en server i USA. Upphovsmannen hävdar att bara anonym statistisk information lagras. Så kan det naturligtvis vara, men genom att logga varje webbplatsbesök avslöjas mer än man kan tro: Delar av mejl kan läcka via ämnesraden om du läser e-post på webben, till exempel.

Dessutom skulle samma metod kunna användas i än mer otrevliga syften. Bland de miljontals övervakade användarna lär det finnas en del högt uppsatta personer inom storföretag, myndigheter och regeringsfunktioner. Genom att filtrera sitt insamlade material kan den som ligger bakom ett spionerande programtillägg hitta dessa och bedriva politiskt eller industriellt spionage. Läs hela kommentaren 

Fakta. Så här fungerar spionprogrammet

Ett programtillägg installeras
Programtillägget Webpage Screenshot marknadsförs som en snabb och enkel lösning för att spara skärmdumpar av webbsidor. Det har drygt 1,2 miljoner användare världen över.

Efter en vecka aktiveras spionprogrammet
Spionprogrammet ligger inte i programtillägget från början. Det aktiveras först efter en vecka då det hämtas från en webbadress på nätet.

Din datatrafik lagras på datorn
När du besöker en hemsida sparas information om hemsidans adress och det som står i titeln på hemsidan (längst upp i webbläsaren). På till exempel Gmail ingår mejlens rubrik i titelraden, liksom aktuell e-postadress. Denna information sparas tillfälligt i datorn.

En gång i minuten skickas information
Varje minut kopplar datorn upp sig mot en server med ip-adress som är registrerad i USA. Dit skickar den all den data som den har samlat in om användaren den senaste minuten. Trafiken kodas på olika sätt så att det blir krångligare att upptäcka och läsa vad det står.

Fakta. Så kollar du om du är drabbad – och så skyddar du dig

• Gå in på ”Inställningar” i Google Chrome och tryck på ”Tillägg”. Om tillägget ”Print Screen – Webpage Screenshot” finns i listan och om det är aktiverat så är du berörd.

• Om du inte vill att webbläsaren skickar uppgifter om din surftrafik, så bör du omgående ta bort programtillägget genom att trycka på symbolen som ser ut som en papperskorg.

Fakta. Vanlig webbläsare

• Google Chrome är en webbläsare som lanserades av Google år 2008. Den hör till en av de vanligaste webbläsarna på marknaden.

• Det finns programtillägg till Google Chrome som går att installera i webbläsaren. Dessa är utvecklade av andra aktörer. Det kan till exempel handla om spel och olika verktyg som gör surfupplevelsen bättre.

Fördjupning. Mer om it och säkerhet

• Här tränar Norden mot it-attacker. Lastbilar stoppas och vattenreningsverk slutar fungera. Bakom alltihop ligger hackande veganer. Det är scenariot på Nordens första stora IT-krisövning. DN var på plats. Läs hela artikeln

• Anonyma chattjourer öppna för avlyssning. Chatten Jourhavande kompis dit barn kan vända sig i förtroende har varit möjlig att avlyssna. Läs artikeln

• Ministern: Vi ska kunna genomföra egna cyberattacker. Cyberattacker blir allt vanligare. Sverige ska därför både höja tröskeln mot sådana it-angrepp och bygga upp en helt ny, offensiv förmåga att genomföra egna attacker. Läs artikeln

• Sverige alltmer sårbart för it-störningar. Hundratusentals svenskar drabbas av strömavbrott, når inte SOS Alarm eller får inte kontakt med myndigheter och banker. Sverige har blivit alltmer sårbart för tekniska haverier och it-attacker, enligt myndigheterna MSB och PTS. Läs artikeln

• Dagliga IT-attacker mot svenska myndigheter och storbolag. Svenska myndigheter, universitet och företag utsätts dagligen för IT-attacker från utländska underrättelsetjänster och angreppen blir allt fler, enligt FRA. Läs artikeln

DN granskar. Det sårbara ­digitala samhället

DN kunde i en artikel­serie i november och december förra året visa på flera allvarliga it-säkerhetsbrister i Sverige. Till exempel att det går att öppna dammluckor över internet – utan att behöva ange lösenord. Och att flera hundratusen svenska hushåll har haft osäkra modem hemma. Ett företag som säljer styr­system till fastigheter visade sig ha så dålig it-säkerhet att det enkelt gick att hacka sig in i till exempel värmepannor, belysning och ventilation. Läs alla delar i artikelserien