”Appen är väldigt enkel att hacka”

Uppdaterad 2015-02-19 | Publicerad 2015-02-14

SVT ska undvika nytt röstfiasko med uppdaterad version – men nu slår säkerhetsexperterna larm

Falska röster kan påverka resultatet i Melodifestivalen.

Säkerhetsexperter slår larm om att SVT:s nya app är lätt att hacka.

– Det är väldigt enkelt, säger Emil Kvarnhammar på säkerhetsbolaget Truesec till Nöjesbladet.

Långa nedladdningstider och bristfälliga instruktioner gjorde att många inte hann rösta på Molly Pettersson Hammar, som var först ut i Melodifestivalens första deltävling. När det stod klart att hon åkt ut rasade tv-tittarna mot teknikfiaskot.

Nu tornar nya orosmoln upp sig på schlagerhimlen.

Säkerhetskonsulterna Emil Kvarnhammar och Philip Åkesson på bolaget Truesec har på Nöjes­bladets uppdrag studerat appens struktur. De har kommit fram till att den är mycket enkel att hacka.

– Vad vi kan se finns inget som försvårar att någon skriver ett datorprogram som imiterar en mobiltelefon, säger Emil Kvarnhammar.

”Är inte svårt”

För att kunna rösta med appen måste användaren antingen logga in med via Google+ eller Facebook, a­lternativt skapa ett nytt konto. Detta ska förhindra röstmanipulation. Men e­nligt Emil Kvarnhammar och Philip Åkesson är det alltså enkelt att bygga ett program som får det att se ut som att en stor mängd a­nvändare röstar – trots att det i själva verket bara finns en enda dator bakom.

– På grund av hur applikationen är uppbyggd är det väldigt enkelt. Det är inte svårare än att tolka HTML-kod eller Javascript. Många webbprogrammerare lär sig det. Jag skulle säga att svårighetsgraden definitivt ligger på den enklare delen av skalan, säger Emil Kvarnhammar.

Enligt honom skulle s­äkerheten kunna höjas om inloggningen knöts starkare till en person. Ett sätt att göra detta vore att koppla ihop kontot med användarens mobiltelefonnummer.

– Då skulle det vara möjligt att få en säkerhetsnivå som är jämförbar med sms-röstning, förutsatt att appen i övrigt är byggd på rätt sätt, säger Emil Kvarnhammar.

SVT oroar sig inte

Enligt Thomas Strindberg, utvecklingsansvarig för digitalt programinnehåll på SVT, finns inga skäl till oro. 

– Vi känner oss väldigt trygga och skulle inte ha lanserat appen om vi inte var trygga i hur den fungerar och hur säkerheten är konstruerad. Vi är inte intresserade att av exponera hur vi har löst det här men man kan vara trygg med att det resultat som kommer ut är svenska folkets åsikter och röster, säger han.

Säkerhetskonsulterna menar att det med enkla medel går att manipulera resultatet.

– Det finns något på andra sidan som tar emot rösterna också. Det är ett slutet system vilket innebär att om du ska kunna påverka rösterna måste du kunna påverka alla delar i systemet. Och där har vi en s­äkerhet som vi är väldigt trygga med, säger Thomas Strindberg.

Fotnot: Säkerhetskonsulterna har analyserat appens struktur. De har inte försökt hacka systemet.