Den populära betalappen Swish har tuffa veckor. I slutet av förra månaden avslöjades att tjänsten, som ägs bland annat av de fyra svenska storbankerna innehöll ett säkerhetshål som kunde användas för att spionera på kundernas betalningshistorik. Hålet upptäcktes av en utvecklare som går under namnet Nullbyte. Nu visar analyser gjorda av samma utvecklare på att andra delar av säkerheten i Swish androidapp bygger på stulen kod.

Koden ingår i ett säkerhetsbibliotek som kallas Androidpinning och licensieras som öppen källkod under licensen GNU General Public Licence, GPL. Det betyder visserligen att den är gratis att använda, men licensen är smittsam. Den som använder den i sin kod måste i sin tur också dela med sig av sitt arbete i form av källkoden.

Efter Nullbytes upptäckt har flera svenska utvecklare och öppen källkods-ivrare bett att få ta del av Swish källkod. Men på sin Facebooksida svarar Swish att appen visserligen innehåller en fil licensierad under GPL, men att den filen bara är en rest från tester av appen och att den inte används.

Swishappen utvecklas av konsultfirman HIQ för bankernas räkning, men det är designbyrån The World Loves som svarar på alla frågor som har med Swish att göra. När IDG.se ringer upp företagets vd Per Ekwall för att reda ut frågetecknen kring om Swish använder koden på fel sätt lovar han att återkomma med ett svar innan dagen är slut. Det gör han inte. Vi får beskedet att vi ska få prata med någon ansvarig nästa morgon. Det får vi inte. I stället sitter gruppen bakom Swish i möte hela dagen, för att som Per Ekwall utrycker saken, “diskutera den här frågan”. Men inte heller efter det långa mötet har han något svar. I stället hänvisar Per Ekwall till det tidigare uttalandet på företagets Facebooksida.

Det svaret imponerar dock inte på Moxie Marlinspike som är den som utvecklat den ursprungliga koden till säkerhetsbiblioteket. I ett mejl till IDG.se skriver han att Swish definitivt använt koden på ett sätt som strider mot licensen. Han menar också att den analys som Nullbyte gjort av koden i Swish tydligt visar att den faktiskt använder hans kod för viktiga säkerhetsfunktioner. Moxie Marlinspike har också försökt få kontakt med Swish för att diskutera frågan.

– Jag tror att vi kan hitta en rimlig lösning på det här, men om de fortsätter att ignorera mina försök till dialog så finns det inget annat val än att ta till rättsliga åtgärder, säger Moxie Marlinspike.

Fakta

Swish är en tjänst som låter privatpersoner skicka pengar till varandra via en mobilapp. Tjänsten har 1,7 miljoner användare och drivs av de fyra svenska storbankerna Nordea, Swedbank, SEB och Handelsbanken tillsammans med Skandiabanken, Länsförsäkringar, Danske Bank och ett antal mindre sparbanker.