En tilsynelatende uskyldig YouTube-video kan inneholde ondsinnet kode som kan føre til at maskinen din bli hacket.
Det går fram av en fersk rapport som er utarbeidet av forskere ved universitetet i Toronto, Canada.
Kommersiell injeksjon
Ifølge rapporten finnes det kommersielle såkalte injeksjonssystemer som aktivt retter seg mot YouTube og Microsoft Live.
Programvaren brukes til å legge inn overvåkingskode i helt vanlige videoer, for eksempel på YouTube.
Annonse
Målrettet overvåking
Hensikten er å drive målrettet overvåking mot personer som er mistenkt for ulovlige aktiviteter.
I et demokratisk rettssamfunn vil det forhåpentligvis bare gjelde terror, narkotikakriminalitet og andre forbrytelser vi alle ønsker skal oppklares.
Oman og Turkmenistan
Men i land med diktatorisk makt vil systemet kunne brukes til å overvåke opposisjonelle. Og de som leverer slike løsninger, ser ikke ut til å skille på kundene.
Eksempler på bekreftede kunder er regjeringene i Oman og Turkmenistan. Og ett av selskapene som leverer koden er CloudShield Technologies, som er en kjent leverandør til av datasikkerhetstjenester det amerikanske forsvaret.
Andre selskaper som leverer slike løsninger er Hacking Team og FinFisher.
Forsvar og politi
Det ville derfor ikke vært unaturlig om også amerikanske forsvarsmyndigheter (for eksempel NSA) benytter seg av denne teknologien.
At det sivile politiet i vestlige land, for eksempel Norge, også kan benytte slik teknologi er heller ikke utenkelig.
Klar over faren
Du har selv ingen mulighet til å oppdage koden eller hindre at den trenger inn. Ingen antivirusprogrammer kan avdekke den, og du får heller ingen varsler på annen måte om at maskinen din er infisert.
Både Google, Microsoft og andre aktører er klar over faren, og kjører derfor trafikken sin kryptert når de oppdager slik aktivitet.
Men det er ifølge forskerne nok av hull å trenge inn i som går under Googles og Microsofts radarer.
Avhengig av nettleverandør
Injeksjonsteknologien er avhengig av at fysiske maskiner blir plassert hos nettleverandørene. Enten som følge av strengt hemmelige ordre fra myndighetene, eller i hemmelighet via lure-teknikker.
Når systemet først er installert hos din nettleverandør, kan den som står bak bare vente til du starter en bestemt YouTube-video.
Deretter blir datastrømmen avskåret og erstattet med kode som kan ta total kontroll over maskinen din.
Også Microsoft Live
Microsofts login.live.com blir ifølge rapporten infisert på samme måte, altså via leddet mellom deg og Microsoft.
Denne videoen er (forhåpentligvis) helt uskyldig, men kan altså teoretisk være bærer av overvåkingskode:
Kilder:
Firstlook.org
Citizenlab.org
Annonse
