(Foto: Jacob Wittorff)

Interview: Det er helt bevidst valg, der gør, at den nye NemID-app ikke kan anvendes på rootede telefoner, fortæller Jens Østergaard fra E-nettet, der har udviklet appen. Bestemte telefoner virker dog heller ikke. "Det er selvfølgelig ærgerligt, og vi har godt været klar over det. Men der har vores betragtning været, at man må bruge nøglekortet, hvis man har sådan en telefon," siger Jens Østergaard.

Annonceindlæg fra Redpill Linpro Fire af fem digitale transformationer slår fejl – men sådan får du succes! Ifølge Redpill Linpro har mange faktorer betydning for, om den digitale transformation lykkes eller ej. Læs her, hvordan du kommer bedst fra start. | Læs mere

Et brøl af utilfredshed fra mange Android-brugere har rejst sig i kølvandet på lanceringen af den nye NemID-app, som blev klar i Google Play mandag aften.Android-brugere, der har rootet telefonen, kan nemlig ikke anvende appen.Finans Danmark, der formelt står bag appen, meddeler, at brugerne aldrig må 'roote/jailbreake den mobile enhed (dvs. slå ikke sikkerhedssystemet i smartphone og tablet fra). NemID nøgleapp er beskyttet med sikkerhedstiltag for at reducere risikoen for, at nøgleappen eksekveres på rootede og jailbroken devices.’“Det kan man ikke af sikkerheds-mæssige årsager, og det er et helt bevidst valg. Nøgle-appen er jo en national løsning, og den skal derfor leve op til en række sikkerhedsstandarder som eksempelvis PSD2-kravene [‘Payment Services Directive II’, red].Her står der blandt andet flere krav til ‘authorization of mobile app and devices,’ men det kan man jo selv slå op.”"Af sikkerhedsmæssige hensyn vil jeg nok ikke gå så langt ned i det tekniske. Men jeg kan sige, at skal man angribe en app, så kan man på en rootet device i princippet splitte den ad. Og derfor har man altid forskellige sikringer, som man bygger ind i appen, og en af dem er root detection."“Ja, når en telefon ikke er rootet, så er udgangspunktet jo, at brugeren ikke har root-privilegier. Og når man har rootet sin telefon, så har man som bruger fuld adgang til telefonen og kan dermed tilsidesætte de indbyggede sikkerhedsmekanismer.Nogen synes, at det er en god ide at rooote og fred være med det. Men så må de bare som udgangspunkt bruge nøglekortet."“Risikoen generelt er, at brugeren ikke ved, hvad der foregår og ikke har nogen beskyttelse fra telefonens side - selvfølgelig medmindre brugeren ved en del om det her.”“I princippet kan man have applikationer kørende, som kan angribe appen uden, at man som bruger opdager det.Men vigtigst er, at vi skal leve op til række sikkerhedsstandarder, da det er en national løsning, og en af dem er, at vi ikke kan acceptere rootede devices.Har man et problem med det valg [at man ikke kan anvende rootede telefoner, red], så må man bruge nøglekortet. For så har man jo taget et bevidst valg om - i gåseøjne - at ødelægge sikkerhedsmodellen i sin telefon.Jeg ved godt, at mange mener, at de har styr på det. Men det er nok ikke alle, der har det.”“Mjah, det tror jeg ikke, at jeg vil gå så langt ned i. Men jeg kan sige, at der specielt i Android-verdenen findes mange grimme ting på nettet, så der er tale om vigtig beskyttelse.Og så er der altså som sagt også tale om et krav i forhold til diverse standarder, så vigøre det.Jeg ved godt, at nogle folk installerer Magisk [et root-program, red] på deres telefoner, og så kan man jo alt.Men det er jo hele tiden et kapløb om, hvad man kan gøre for at imødegå den slags ting.Det kan jo være, at vi på et tidspunkt vælger at sørge for, at man ikke kan installere det længere. Og så går der fem dage, og så kommer der en ny version af Magisk, som igen gør det muligt.”“Det er godt spørgsmål. Jeg er ikke jurist, så jeg må hellere lade være med at udtale mig om den slags.Men man kan sige, at vi generelt ikke er så bekymrede over, at en fornuftig og dygtig bruger anvender Magisk. Det er mere risikoen for, at appen bliver angrebet via en rootet telefon.”“Ja. Vi er godt klar over, at nogle enkelte telefoner desværre opfører sig som om, at de er rootede, selv om de ikke er det - altså laver en falsk positiv.Det drejer sig om ganske få Kina-modeller, hvor leverandøren anvender en version af Android Oreo 8.1, som de har lavet lidt om.Det er selvfølgelig ærgerligt, og vi har godt været klar over det. Men der har vores betragtning været, at man må bruge nøglekortet, hvis man har sådan en telefon. Det drejer sig blandt andet om OnePlus 5 samt nogle forskellige Huawei-modeller.”“Ja, så kunne man jo bruge nøglekortet. Nøgle-appen er jo altså bare et tilbud. Og er man utilfreds med løsningen, så kan man anvende sit nøglekort istedet."“Jeg vil nok ikke lægge den på en absolut skala, men jeg vil sige, at sikkerhedsniveauet i NemID-appen er sammenligneligt med niveauet i nøglekortet.Der ligger mange lag af sikkerhed i sådan en app her, som vi ikke snakker om, og som ingen forhåbentligt opdager....”“Ha ha, ja det vil jeg ikke sige. Men der ligger mange lag af for eksempel kryptering og ting og sager.”