Bli Säker-podden

Förra veckan avslöjade Plånboken i P1 hur falska recensionssajter köper annonser på Google. När någon söker efter populära teknikprodukter visas först sökresultatsliknande annonser för webbplatser som påstås ha testat många produkter ur produktkategorin. I själva verket är recensionssajterna bara reklampelare för utvalda produkter. Jämförelserna är påhittade och recensenterna likaså. Under mars månad kartlade Bli säker-podden samma falska recensionssajter och några därtill. I veckans avsnitt pratar Peter och Nikka om problemet med dessa falska sajter och hur långt sajtägarna går för att vilseleda konsumenterna. Peter och Nikka pratar också om ett nytt skydd mot Clickfix-attacker i Mac OS. Clickfix-attacker (till exempel falska captcha-rutor) har enligt Microsoft Defender Experts blivit en av angriparnas vanligaste metoder för initial åtkomst. Apple har i sin senaste uppdatering av Mac OS adresserat problemet genom att helt enkelt varna användare som försöker klistra in kommandon i terminalen. Veckans poddavsn

Många nationsunderstödda hotaktörer och underrättelsetjänster köper in externt utvecklade spionprogram för att kunna infektera sina måltavlors mobiler. Verktyget som kallas Coruna misstänks ha utvecklats för sådana ändamål. I början av mars avslöjade Google och Iverify att Corunas ursprungliga utvecklare hade förlorat kontrollen över verktyget. En ekonomiskt motiverad hotaktör från Kina hade lagt vantarna på verktyget och börjat utnyttja det för att infektera ouppdaterade mobiler bland allmänheten. Senare samma månad kom nyheten om Darksword. Det är ett verktyg som, likt Coruna, inledningsvis utnyttjades i riktade attacker mot högprofilerade måltavlor. Samma verktyg används nu för att attackera vanligt folks mobiler. Tidigare i veckan publicerades Darkswords källkod på Github, fritt tillgängligt för världens alla angripare. När Coruna och Darksword började missbrukas på bred front hade Apple redan åtgärdat sårbarheterna som verktygen utnyttjade. Problemet är att långt ifrån alla Iphone-ägare installerar säker

Förra veckan riktades världens blickar mot Sverige. En utpressargrupp eller ensam hacker vid namn Bytetobreach påstod sig ha stulit källkoden till hela Sveriges ”e-gov platform”. De publicerade källkoden på ett nätforum, så att andra hackare skulle kunna leta efter sårbarheter i koden. Källkoden stals från tjänsteleverantören CGI. De levererar bland annat inloggningslösningen som flera myndigheter använder till sina publika webbtjänster. När medborgare ska logga in på exempelvis Skatteverket eller 1177 skickas de till en inloggningssida på domänen funktionstjanster.se, vilken drivs av CGI. CGI-tjänstens centrala punkt gjorde att många myndigheter påverkades av intrånget. MCF (Myndigheten för civilt försvar) stängde sin e-tjänsteportal som en säkerhetsåtgärd. En vecka senare är portalen fortfarande otillgänglig. Enligt CGI är dataläckan mindre allvarlig än utpressarna påstår. CGI skriver att intrånget bara påverkar ”ett begränsat antal interna testservrar” och att den läckta källkoden tillhör ”en applikation s

Tiden då AI-genererade bilder innehöll flagranta misstag är förbi. Dagens bildgeneratorer kan skapa bilder som ser helt autentiska ut. Videogeneratorerna blir också allt bättre. Till och med SVT har råkat publicera ett AI-genererat videoklipp i tron om att det visade en dokumenterad händelse. Förra veckan twittrade Carl Bildt en bild på resterna av ett attackerat radarsystem. I gruppanmärkningarna och kommentarerna hävdade hans följare att bilden var AI-genererad. När SVT Verifiera granskade bilden visade det sig att anklagelserna var felaktiga. Bilden var faktiskt äkta. De två exemplen visar tydligt på problemet som har uppstått. Publicister har svårt att veta om videoklipp är äkta. Mediakonsumenter börjar samtidigt bli så skeptiska att de avfärdar äkta bilder som AI-genererade. Koalitionen som kallar sig C2PA har utvecklat en teknik för att minska problemet. ”Content Credentials” ska göra så att mediakonsumenter kan se vilken publicist som har publicerat en bild eller ett videoklipp. Informationen signeras

I mitten av februari blockerade Europaparlamentet AI-funktionerna på lagstiftarnas enheter. Enligt ett internt mejl som har delats med Politico infördes blockeringen på grund av risken för obehörig åtkomst till datan. Merparten av dagens AI-tjänster är molnbaserade. De är byggda så att tjänsteleverantören har teknisk åtkomst till användarnas promptar och till svaren som skickas tillbaka. Huruvida tjänsteleverantörerna får använda sin åtkomst för att exempelvis förbättra sina AI-modeller regleras av juridik, inte av teknik. I Google Geminis integritetspolicy står det rent av: ”ange inte konfidentiell information som du inte vill att en granskare ska se”. I fjol hamnade Open AI i en rättstvist med New York Times. Open AI meddelade att, även om de inte ville, kunde de tvingas lämna ut Chat GPT-användares data. Därutöver har det inträffat flera dataläckor där andra AI-tjänster har läckt användarnas promptar. Sammantaget visar det tydligt att molnbaserade AI-tjänster ökar risken för att data hamnar i fel händer. Å

Stora mängder data har läckt ur hotellbokningssystem. Hotellkedjan Best Western har bland annat läckt gästers namn, telefonnummer, mejladresser, bokningsdatum och bokningspriser. Nu utnyttjar bedragare den stulna informationen för att skicka ovanligt detaljerade nätfiskemeddelanden, i hopp om att lura av gästerna deras betalkortsuppgifter. En av gästerna som berörs är Karl Emil Nikka själv. I veckans podd pratar han och Peter Esse om hur Best Western har hanterat situationen, något Nikka beskriver som ett skolboksexempel på hur företag inte bör göra efter en personuppgiftsincident. Podduon pratar också om ett internt mejl som har läckt från det Amazon-ägda företaget Ring som tillverkar ringklockor med inbyggda övervakningskameror. Ring hamnade i blåsväder efter en misslyckad annonskampanj. Ring trodde att deras kunder skulle välkomna en ny funktion som gjorde att Ring-kameranätverket kunde hitta bortsprungna hundar. Kunderna tolkade i stället annonskampanjen som en inblick i en dystopisk framtid där varenda d

La Liga har fått spanska operatörer att blockera CDN-nätverk som distribuerar illegala IPTV-sändningar. Detta trots att sådana blockeringar gör även helt legitima webbplatser oåtkomliga. Storbritanniens premiärminister Keir Starmer vill strama åt ålderskontrollerna på nätet ännu hårdare. Detta trots att Storbritannien saknar säkra metoder för åldersverifiering. La Liga och Starmer ställs inför samma problem: det är långt ifrån alla som delar deras önskemål. Britterna som inte vill åldersverifiera sig skaffar i stället VPN-tjänster, så att de kan tunnla ut sin trafik från landet. Spanjorerna som vill kringgå de spanska operatörernas blockeringar gör samma sak. Som ett väntat nästa steg sätter både La Liga och Storbritannien fokus på VPN-tjänsterna. I veckan hävdade La Liga att två stora VPN-tjänster (Proton VPN och Nord VPN) måste införa samma CDN-blockeringar som de spanska operatörerna. Starmer skickade ut ett pressmeddelande om behovet av att begränsa barns åtkomst till VPN-tjänster. I veckans poddavsnitt p

De senaste veckorna har AI-botten Openclaw skapat många rubriker. Openclaw fungerar som en AI-agent på datorn. Den chattar med sin ägare via valfri chattapp och utför uppgifterna som den blir instruerad att göra. Den gör dem dessutom förvånansvärt bra. Openclaw gör det som Siri och Google Assistant alltid har strävat efter att kunna erbjuda, men aldrig lyckats leverera. Den extremt kompetenta AI-botten är samtidigt vansinnigt riskfylld. Openclaws utvecklare är helt öppna med detta faktum. De varnar användare som installerar botten för att den kan bli lurad att göra osäkra saker. Utvecklarna klassar dessutom Openclaw som ett hobbyprojekt och koden har ännu inte lämnat beta-stadiet. I veckans poddavsnitt pratar Peter och Nikka om Openclaws förträffliga funktionalitet och undermåliga cybersäkerhet. Nikka lyfter fem problem som gör att han avråder alla från att använda botten i annat än test- och leksammanhang. Openclaw dras bland annat med samma problem som ChatGPT:s AI-agentwebbläsare: risken för promptinjektio

Utvecklingen av så kallade kvantdatorer väcker oro. Om någon lyckas uppfinna en tillräckligt kraftfull kvantdator kommer den att kunna knäcka många av krypteringslösningarna som används idag. Runt om i världen har underrättelsetjänster redan börjat spela in krypterad trafik i hopp om att en framtida kvantdator ska kunna dekryptera den. Vi måste därför påskynda övergången till kvantdatorsäkra krypteringsalgoritmer. Veckans specialavsnitt av Bli säker-podden gästas av IT-säkerhetsexperten Joachim Strömbergson från Assured. Han förklarar hur vår värld påverkas av hotet från kvantdatorerna. Joachim redogör för vilka situationer som berörs, var problemet är som störst och hur lösningarna ser ut. Det har redan uppfunnits flera kvantdatorsäkra krypteringsalgoritmer, men de har av förklarliga skäl inte hunnits testas i samma utsträckning som de klassiska motsvarigheterna. Frågan är: kan vi lita på dem? Se fullständiga shownotes på https://go.nikkasystems.com/podd338.

I veckan lämnade en internationell grupp in en stämningsansökan mot Meta. Gruppen hävdar att Meta ljuger om totalsträckskrypteringen i meddelandeappen Whatsapp. Enligt påstådda visselblåsare kan medarbetare hos Meta läsa alla meddelanden som skickas. De påstådda visselblåsarna hävdar till och med att Meta-medarbetare kan återställa raderade meddelanden. Meta avfärdar alla dessa påståenden som helt grundlösa. I en kommentar till New York Post förklarar Whatsapps chef att stämningen drivs av samma advokatbyrå som försvarar NSO Group. NSO Group är företaget bakom den ökända spiontrojanen Pegasus som har använts för att spionera på politiker, journalister och människorättsaktivister. Pegasus har bland annat utnyttjat Whatsapp för att få fotfäste på offrens mobiler, vilket har lett till en mångårig tvist mellan Meta och NSO Group. Whatsapps chef hävdar att den påstådda visselblåsarläckan är en ren distraktion från NSO Groups advokaters sida. Elon Musk (X:s ägare) och Pavel Durov (Telegrams grundare) har snabbt dra

Förra veckan tillkännagavs en ny sårbarhet i Bluetooth-hörlurar från flera stora tillverkare, däribland Sony, JBL, Jabra och Marshall. De berörda hörlursmodellerna har alla stöd för Googles Fast Pair-teknik, och tillverkarna har implementerat tekniken på ett felaktigt vis. Det rör sig alltså inte om någon sårbarhet i själva Bluetooth-protokollet. Sårbarheten har fått namnet Whisperpair. Namnet anspelar på konsekvenserna. En angripare som befinner sig inom Bluetooth-räckvidd kan i tysthet koppla ihop ovetande användares hörlurar med sin egen dator. Därigenom kan angriparen avlyssna vad som sägs. Whisperpair-sårbarheten förvärras av att flera berörda hörlursmodeller har stöd för Googles Find Hub-nätverk (används för att hitta borttappade produkter). Sådana hörlurar måste kopplas till en Android-mobil för att registreras på mobilägarens Google-konto. Det är ett problem för Iphone-ägare som har köpt sårbara och Find Hub-kompatibla hörlurar. Deras hörlurar lämnas kvar i registrerbart läge. Whisperpair-sårbarheten

(Veckans avsnitt av Bli säker-podden innehåller ett inslag som handlar om självmord. Hjälp till dig som har självmordstankar finns på 1177.se. Vid akuta situationer: ring 112.) Förra veckan meddelade OpenAI att ChatGPT ska få nya hälsofunktioner. Enligt ett officiellt blogginlägg ska AI-boten stödja, inte ersätta, vård från kliniker. OpenAI förklarar att det innebär att AI-boten kan hjälpa till med förberedelser inför läkarbesök, tolka testresultat, jämföra hälsorelaterade försäkringsalternativ samt ge kost- och träningsråd. Enligt OpenAI:s egna siffror är det varje vecka över 230 miljoner människor som ställer hälsorelaterade frågor till ChatGPT. AI-botens nya hälsoläge ska skydda dessa konversationer genom att isolera dem från övriga konversationer och tillämpa något som OpenAI kallar ”specialbyggd kryptering”. Den exakta innebörden är ännu oklar, men OpenAI skriver inte att datan är vare sig totalsträckskrypterad eller krypterad på klientsidan. Kryptering av chatthistorik på klientsidan är något som OpenAI

2015 inträffade den så kallade dieselgate-skandalen som fick ringar på vattnet i hela bilindustrin. Bilkoncernen Volkswagen hade manipulerat mjukvaran i sina dieselbilar så att mjukvaran skulle känna igen testmiljöer och anpassa avgasutsläppen därefter. Det gjorde att bilarna klarade miljökraven vid testtillfällena trots att de inte gjorde det i praktiken. Under den senaste månaden har två techjättar ertappats med att agera på samma vis. Deras tjänster beter sig på ett sätt när de granskas och ett annat sätt för vanliga användare. I slutet av december släppte Youtube-journalisten Megalag sitt efterlängtade uppföljningsavsnitt om Paypals webbläsartillägg Honey. Webbläsartillägget marknadsförs som en automatisk lösning för att hitta de bästa rabattkoderna till butiker på nätet. 2024 avslöjade Megalag att tillägget gjorde mer än så. Honey stal också ersättningen som skulle ha gått till butikernas samarbetspartners. I decembers uppföljningsavsnitt visade Megalag hur Paypal dessutom hade programmerat tillägget för

Ytterligare ett år är slut. Ett nytt år är kommet. Det är dags för Bli säker-poddens traditionsenliga nyårsspecialavsnitt. Inför varje nytt år spanar Peter och Nikka in i framtiden. De presenterar fem händelser som de tror (eller är rädda för) att inträffar. 2025 spådde de att Proton Pass skulle utmana Bitwarden, att det transatlantiska dataöverföringsavtalet skulle falla, att Apple skulle lansera en egen sökmotor, att användandet av nycklar skulle fördubblas samt att Microsoft skulle fortsätta hålla Windows 10-datorer säkra. Tre av profetiorna inföll. I veckans poddavsnitt presenterar podduon fem nya spaningar för 2026. Användandet av den säkerhets- och integritetsfokuserade webbläsaren Brave fortsätter att växa medan tillväxten har stagnerat för konkurrenten Firefox. Under 2026 finns det därför chans att Brave blir större än Firefox i popularitetsmätningar. Det världspolitiska läget och den bevisade skalbarheten talar för att den öppna samarbetsplattformen Nextcloud fortsätter vinna mark bland europeiska or

Världens största porrsajt har råkat ut för ett dataintrång. Den ökända hackergruppen Shinyhunters påstår sig ha stulit 94 gigabyte data med användares mejladresser, sökhistorik och listor över filmerna som användarna har tittat på. Pornhub har erkänt intrånget. Shinyhunters har skickat delar av den stulna datan till nyhetsbyrån Reuters som i sin tur har verifierat äktheten. Nu råder förhöjd risk för så kallad sextortion (sexutpressning). Företeelsen är långt ifrån ny. Genom åren har bedragare skickat kopiösa mänger sexutpressningsmejl. Dessa mejl har nästintill alltid varit tomma hot. Dagens situation är annorlunda. Nu finns risk för att utpressarna hotar med att läcka data som de har stulits på riktigt. Pornhub skriver att de ”är medvetna om att individerna som är ansvariga för incidenten har hotat att kontakta berörda Pornhub Premium-användare”. I veckans poddavsnitt pratar Peter och Nikka om konsekvenserna av intrånget. Nikka berättar om hur sextortion-attacker har utvecklats genom åren. Podduon varnar ock

Termen ”totalsträckskryptering” (end-to-end encryption) har blivit ett riktigt modeord. Allt fler tjänsteleverantörer marknadsför att de skyddar sina användares data med just totalsträckskryptering. Det innebär att datan krypteras så att enbart användarna själva kan komma åt den. Tjänsteleverantören saknar åtkomst. Det gör att tjänsteleverantören varken kan spionera på användarnas data eller råka läcka datan ifall de skulle drabbas av ett cyberintrång. Problemet är att långt ifrån alla tjänsteleverantörer tillämpar totalsträckskryptering trots att de påstår sig göra det. 2020 tvingades Zoom gå ut med en ursäkt efter att de hade påstått sig erbjuda totalsträckskrypterade möten trots att Zoom hade nycklarna som krävdes för att dekryptera trafiken. Microsoft Teams stödjer totalsträckskrypterade möten men det är enbart röst- och videotrafiken som totalsträckskrypteras. Chattmeddelanden och uppladdade filer gör det inte. Apples meddelandetjänst är alltid totalsträckskrypterad med undantag för säkerhetskopiorna. De

Under 90-talet var Malmös äventyrsbad Aqvakul (”aq-va-kul”) ett välkänt utflyktsmål i Skåne med omnejd. Från mitten av 00-talet kantades anläggningen av återkommande problem med alltifrån legionellabakterier till söndervittrande betong. 2015 stängdes äventyrsbadet för gott. På tiden då Aqvakul var öppet låg anläggningens webbplats på en egen domän. När verksamheten lades ned gjorde webbplatsen likaså. Besökare som gick till den gamla adressen skickades vidare till en ny webbsida på Malmö stads webbplats, åtminstone under det första året. 2017 upptäckte någon att Malmö stad hade låtit bli att förnya den gamla domänen. Personen registrerade domänen och återpublicerade en kopia av den gamla Aqvakul-webbplatsen, fast med en nämnvärd skillnad. Längst ned på Aqvakuls startsida ligger numera orelaterade reklamlänkar för belysning, akustikplattor och flyttstädstjänster. Dagens sökmotorer prioriterar sökresultaten efter en mängd olika parametrar. En av parametrarna som väger tyngst är hur många andra välrenommerade we

Inför årsskiftet slutför Sveriges operatörer nedsläckningen av sina 3G-nät. Tele2 och Telenor släcker också sitt gemensamma 2G-nät, och Tre har aldrig haft något sådant nät. Telias 2G-nät blir därmed det enda 2G-nätet som lever vidare. Telia har meddelat att de skjuter upp nedsläckningen av sitt 2G-nät till årsskiftet 2027/2028. Genom att släcka gamla mobilnät frigörs plats åt nya mobilnät med högre kapacitet och snabbare överföringshastigheter. Nedläggningen är dock inte helt oproblematisk. 2G- och 3G-mobiler är inte framåtkompatibla med 4G-näten. Många äldre 4G-mobiler saknar också stöd för att ringa 4G-samtal, vilket gör att dessa mobiler förvandlas till små surfplattor när 2G- och 3G-näten försvinner. (SOS-samtal går, oavsett operatör, att ringa via Telias 2G-nät så länge det finns kvar.) Problemet berör inte enbart mobiler. Många äldre larmsystem och andra mobilnätsuppkopplade prylar har inbyggda 2G- eller 3G-modem. Sådana modem kan inte kommunicera via 4G- eller 5G-nätet över huvud taget. Sveriges bilfl

Molnbaserade AI-chattbotar används för att diskutera många typer av frågor, inklusive frågor om känsliga ämnen. Detta är ChatGPT:s ägare OpenAI väl medvetna om. I mitten av november publicerade OpenAI ett blogginlägg där de skrev att det nu är över 800 miljoner människor som använder ChatGPT varje vecka. Enligt blogginlägget för användarna känsliga samtal med ChatGPT, och de delar allt från minnen och filer till inloggningsuppgifter och betalningsinformation. På grund av en pågående rättstvist försöker New York Times tvinga OpenAI att lämna ut 20 miljoner privata chattsamtal. Eftersom OpenAI har designat molntjänsten utan totalsträckskryptering har OpenAI åtkomst till chattarna och kan därmed tvingas lämna ut dem. ChatGPT är inte den enda chattboten som har hamnat i blåsväder under de senaste veckorna. Förra veckan avslöjade Crowdstrike att den kinesiska modellen Deepseek-R1 genererade programmeringskod som, med högre sannolikhet, innehöll sårbarheter om användaren nämnde ämnen som är politiskt känsliga för k

Angripare behöver inte besitta någon större teknisk kompetens för att utföra sofistikerade nätfiskeattacker. Kriminella aktörer säljer färdiga nätfiskeverktyg som angriparna kan utnyttja för att försöka stjäla inloggningsuppgifter. Under hösten har det rapporterats om hur två kommersiella nätfiskeverktyg har lagt till stöd för så kallade browser-in-the-browser-attacker. Det är en attacktyp där en webbsida skapar en ruta som ser ut som ett riktigt webbläsarfönster. I själva verket är rutan bara grafik som visas ovanpå resten av webbsidans innehåll. Eftersom den falska rutan inte är något äkta webbläsarfönster kan angriparna anpassa allt som visas däri, inklusive domänen i rutans falska adressfält. Den här typen av attack går att avslöja genom att försöka dra det falska webbläsarfönstret ut från webbsidan som det visas ovanpå. Om webbläsarfönstret är falskt är det omöjligt. Genom att använda en lösenordshanterare minimeras risken för att falla offer. En lösenordshanterare föreslår bara inloggningsuppgifter som