En kunde av strømleverandøren Hafslund oppdaget ved en tilfeldighet at selskapets mobilapp Hafslund Strøm Privat lagrer brukerens tekstmeldinger.
Funksjonen har ikke noe formål knyttet til app-en, som brukes til blant annet å levere måleravlesing.
– En stygg sak, ifølge Norsk senter for informasjonssikring, Norsis.
Nå er det rydding på gang i rutinene hos Hafslund.
Også app-utvikleren sjekker samtlige av sine løsninger, som omfatter profilerte app-er hos Wimp, Nordea og Ruter.
Les også: – Trivielt å forbigå OS X
Mobil i bøtta
Kunden som oppdaget den skjulte funksjonen heter Haakon Sporsheim er selv programutvikler og har dermed bedre forutsetninger enn de fleste til å oppdage dette.
På sin hjemmeside fremstiller han på en fargerik måte hvordan loggen ble oppdaget.
– Jeg klarte å miste mobilen i et malingspann. Etter hektisk førstehjelp med skyll og tørk, fikk jeg liv i den en stund. I det minste ville jeg redde innholdet på sd-kortet og gikk gjennom filene der, skriver han.
Slettet? Nei.
På kortet fant han en fil med navnet "HafslundLog.txt".
– Den inneholdt alle sms-ene på telefonen, med dato og mobilnummer. Selv meldinger som var slettet. Det betyr at de blir fanget opp av app-en med det samme de ankommer, forteller utvikleren.
Han valgte å varsle Hafslund og spurte om hvorfor app-en var såpass kravstor med inngripen i mobilens innhold.
Etter en uke fikk han til svar en beklagelse og takk for at han oppdaget funksjonen.
– Første beskjed var at en ny versjon ville være klar over sommeren, men kort etter fikk jeg vite at den var fremskyndet til noen få dager frem i tid, sier Sporsheim.
"No iOS Zone": Kan få enhver iPhone i nærheten til å krasje
Bygger på tillit
Hos Hafslund ber digi.no om en forklaring.
– Denne typen informasjonslagring har ingen hensikt, og er ikke ønsket i våre app-er. Vi beklager dette sterkt, svarer informasjonssjef Katarina Finneng.
Hun forklarer at Hafslund har rutiner for å teste at app-ens funksjonalitet er riktig. Derimot bygger det på tillit til app-leverandøren at løsningen er bygget på en teknisk forsvarlig måte.
– Likevel skjedde denne glippen. Derfor vil vi nå se igjennom våre rutiner for kvalitetssikring, også når det gjelder hvordan app-en blir bygd opp av utvikleren, sier Finneng.
Så du denne? Skal bytte 630.000 strømmålere i Oslo, Akershus og Østfold
En glipp
Selskapet tok umiddelbart kontakt med leverandøren av strøm-applikasjonen, Shortcut, som også forklarer at det handler om en glipp.
Virksomheten med 25 medarbeidere er et rendyrket app-selskap. De står bak profilerte løsninger for blant annet Digipost, Ruter, NSB, Wimp og mobilbanken til Nordea.
Til digi.no sier daglig leder John Eivind Hallén at en utvikler glemte å slette kode som ble brukt under testing av løsningen i 2011. Dermed fulgte sms-lagring i en egen loggfil med i den ferdige versjonen for Android-telefoner i desember 2012.
Den skjulte funksjonen har vært der i to og et halvt år, og av app-ens rundt 11.000 brukere har cirka 3.500 benyttet sms-registeringen.
Les også: Denne Facebook-koden får Google Chrome til å krasje
Enkelt med sms
Hensikten med å koble app-en med sms er at det skal være enkelt å registrere seg som bruker.
Mobilnummeret er lagret hos Hafslund, sammen med bruker-id og målepunktnummer. Ved å sende sitt telefonnummer, som er lettest å huske, mottar brukeren øvrige data automatisk i app-en.
– Den funksjonen får vi kun til med Android-applikasjoner, forklarer Hallén.
Også han legger seg flat og beklager det som er skjedd.
– Men det hører med til bildet at vi er blitt en langt mer moden virksomhet med bedre rutiner nå enn vi var i 2011. Her kan det ha skjedd en feil knyttet til for eksempel en knapp deadline. Kodelinjen med lagring skulle vært slettet, men det ble ikke gjort, sier Shortcut-sjefen.
– Stygg sak
Hos Norsis mener sikkerhetsekspert Vidar Sandland at den skjulte funksjonen er en risiko.
– Dette er en stygg sak. Her kunne Hafslund eller Shortcut ha sørget for å gi seg selv tilgang til loggfilen og dermed alle brukernes sms-er, sier Sandland.
– Mer sannsynlig er det at mobilen kan mistes, bli stjålet, gitt bort eller solgt med alle tekstmeldinger tilgjengelig på minnekortet for uvedkommende, påpeker han.
– Vil ikke en fjernstyrt løsning for sletting fikse det?
– Det er ikke alle som benytter det, og ikke sikkert at enhver slik løsning sletter minnekortet. Og det er ikke uvanlig at en mobil skifter eier uten at fabrikkinnstillinger blir gjenopprettet. Og merk deg at ikke alle telefoner gir deg muligheten til å slette minnekortet når du gjenoppretter fabrikkinnstillinger, svarer seniorrådgiveren.
Les også: Flere og flere ser serier gratis med Popcorn Time, men er det lovlig?
– Kun teoretisk risiko
– Vi har ingen mulighet til å få tilgang til loggfilen, forsikrer Hallén hos Shortcut.
– En teoretisk mulighet er at brukeren laster ned en annen app som må få tillatelse til å lese innhold på telefonen, sier han til digi.no.
En ny versjon av Hafslund Strøm Privat er klar og lansert. Den sletter loggfilen og lagrer ikke nye tekstmeldinger. Her er det opp til den enkelte bruker å følge med på varsler om ny versjon på sin mobil.
Også Hafslund varsler at de nå går ut med beskjed om å oppdatere app-en.
Går gjennom alt
Shortcut foretar nå en gjennomgang under panseret på samtlige app-er som er levert og i bruk, som Nordea mobilbank og Digipost.
– Vi er ikke ferdige med den jobben, enda, men så langt er det ikke funnet flere tilfeller med gjenglemt kode, sier Hallén til digi.no.