De svenska bankerna och deras betalapp Swish anklagades förra veckan för att använda ett programbibliotek licensierat som öppen källkod från den amerikanske säkerhetsexperten Moxie Marlinspike utan att själva erkänna den öppna licensen.

Koden som diskuterats ingår i ett säkerhetsbibliotek som kallas Androidpinning och är släppt underlicensen GNU General Public Licence, GPL version 3.

Efter anklagelserna medgav bankerna att en av filerna från biblioteket Androidpinning av misstag följt med Swishappen, men att koden inte användes. Samtidigt lovades en snabb uppdatering av Swish där den omtalade filen skulle plockas bort. Den uppdateringen kunde laddas ned av Swish-kunder med Androidapp i lördags.

Swish är utvecklad av konsultbolaget Hiq åt bankerna, men det är ytterligare ett företag, designbyrån The World Loves som svarar på alla frågor som har med Swish att göra. Efter att tidigare inte ha velat kommentera anklagelserna annat än via sociala medier tar bankerna nu bladet från munnen och ger sin version av saken via The World Loves vd Per Ekwall. Så här förklarar han vad bankerna haft för sig den senaste veckan och varför de inte kunde plocka bort den aktuella filen direkt.

– Under perioden har bankerna och leverantören granskat hela källkoden till Swish baserat på den information som framkommit i sociala medier för att säkerställa att den aktuella filen inte används i koden, säger han.

Enligt honom föll granskningen väl ut, och bankerna har tillsammans med leverantören utfört nya säkerhetstester av appen. Filen som innehåller den öppna källkoden ska inte ha använts för några funktioner i Swishappen, enligt Per Ekwall är den en rest från en tidig testversion av appen.

Men den aktuella filen har ändrats från ursprungsfilen och enligt Per Ekwall kommer Swish att göra den tillgänglig på det sätt som krävs i licensen. Däremot har bankerna ingen avsikt att publicera resten av källkoden i Swish.

Relaterat: Moxies mål – säker chatt

– Bara för att man packar och distribuerar en fil så smittar inte den öppna källkoden resten av koden i paketet. Det är vi säkra på, säger Per Ekwall.

Den öppna källkodsfilen upptäcktes när en anonym utvecklare med pseudonymen Nullbyte tidigare i år avslöjade en allvarlig säkerhetsbrist i Swish. Anledningen till att Swish inte upptäckt det själva trots att filen ska ha funnits med från start är enligt Per Ekwall att ingen riktig genomgång av koden gjorts.

– Vi har gjort säkerhetskollar men inte någon total kodgranskning, säger han.

Nu planerar bankerna att ta kontakt med Moxie Marlinspike för att förklara vad som har hänt och vad de gjort för att rätta till problemet.