CyberProff.no

Vår metodikk og filosofi

Moderne apper består av komplekse digitale avhengigheter som er usynlige for de fleste. CyberProff analyserer offentlig observerbare signaler for å gjøre programvare mer transparent, forklart og etterprøvbar.

Fordi tillit bør kunne forklares.

1. Hva vi observerer

Plattformen samler inn signaler som er åpent tilgjengelige i applikasjonspakker og offisielle distribusjonskanaler. Vi bruker begrepet observerer, ettersom vi utelukkende vurderer strukturelle egenskaper uten aktiv overvåking av brukerdata.

Manifest & Tillatelser

Deklarert funksjonalitet

Vi leser appens manifestfil (f.eks. AndroidManifest.xml) for å kartlegge hvilke systemressurser som kreves, som kamera, lokasjon eller kontaktlister.

Nettverksdomener

Eksterne endepunkter

Vi trekker ut statiske domener og vertsadresser applikasjonen er konfigurert til å snakke med for kjernefunksjonalitet, feilrapportering og skylagring.

Telemetri & SDK-er

Tredjepartsbyggeklosser

Vi identifiserer kjente biblioteker og utviklingssett (SDK-er) som benyttes til analyse, sporing eller stabilitetsovervåking (f.eks. Sentry, Firebase).

2. Hva CyberProff IKKE gjør

For å opptre som en uavhengig og ansvarlig samfunnsaktør, har vi satt svært tydelige rammer for hva vår teknologi gjør, og spesielt hva den ikke gjør:

Dette gjør vi ikke:

  • Ingen full sikkerhetsrevisjon: Vi verifiserer ikke sårbarheter i backend-systemer eller utfører dyp kildekoderevisjon.
  • Ingen penetrasjonstesting: Vi angriper eller tester ikke grensene til app-leverandørens infrastruktur.
  • Ingen reverse engineering: Vi dekrypterer eller rekonstruerer ikke proprietær, lukket kildekode.
  • Ingen intensjonsvurdering: Vi dømmer ikke om en app er "god" eller "ond". Vi viser kun råfakta.
  • Ingen "trygg/utrygg"-stempling: Vi unngår forenklede alarmsignaler eller unødvendig "scanner-drama".

Hva vi gjør i stedet:

CyberProff presenterer utelukkende strukturelle, observerbare fakta og setter disse inn i en helhetlig, pedagogisk kontekst. Målet er å gi brukeren nok saklig innsikt til å ta egne, velinformerte valg basert på forståelse fremfor frykt.

3. Ulike lag av apptransparens

Appbutikker, personvernerklæringer og tekniske signaler belyser ulike deler av hvordan moderne programvare fungerer. CyberProff konkurrerer ikke med egenerklæringer, men utfyller dem med uavhengige, teknisk observerbare fakta.

Tema Google Play Appens Vilkår & Personvern CyberProff
Primær rolle Appbutikk og compliance-erklæring Juridisk informasjon fra leverandør Teknisk transparens og signalanalyse
Datakilde Utvikleroppgitte deklarasjoner Selskapets egne beskrivelser Observerbare appsignaler og åpen teknisk analyse
Nettverksdomener Ikke synlig Vanligvis ikke spesifisert Viser konkrete domener og tjenester
SDK-er & Telemetri Ikke eksplisitt oppgitt Beskrevet på overordnet nivå Firebase, Sentry og andre signaler identifiseres
Leverandørkjede Ikke visualisert Delvis beskrevet i løpende tekst Visualisert som avhengighetstre (Supply Chain)
Målgruppe Vanlige appbrukere Kunder og regulatoriske krav Brukere, virksomheter, sikkerhetsmiljøer og NIS2
Begrensning Bygger på selvrapportering Fokus på juss fremfor arkitektur Observerer signaler, ikke intern kildekode

CyberProff baserer seg på offentlig observerbare signaler og erstatter ikke apputviklerens juridiske personvernerklæringer.

4. Slik fungerer analyseflyten

Fra en applikasjon pakkes ut til den lander som en visuell innholdsdeklarasjon på våre nettsider, går den gjennom en automatisert prosesseringslinje:

1
Ekstraksjon & Verifisering Applikasjonspakken (APK) hentes og kryptografiske signaturer sjekkes mot offisielle utgivere i distribusjonskanaler som Google Play.
2
Signal-dekonstruksjon Statiske strenger, konfigurasjonsfiler og manifestfiler dekompileres for å hente ut deklarerte tillatelser og nettverksindikatorer.
3
Datavask & Sanering Tekniske rådata renses. Interne testmiljøer, mocks, og sensitive utviklerdetaljer filtreres ut i tråd med vår policy for ansvarlig publisering.
4
Kategorisering & Oversettelse Domener og funksjoner kobles mot kjente teknologifamilier (som skyinfrastruktur eller betalingsledd) og oversettes til et klart og forståelig menneskespråk.

5. Datagrunnlag

Iverksatt nå

Nåværende indikatorer

  • Offentlig verifisert Google Play-metadata.
  • Statisk manifest- og tillatelsesekstraksjon.
  • Sanerte produksjonsdomener og kjerne-endepunkter.
  • Identifisering av utgiveridentitet (Sertifikat SHA-256).
Under utvikling

Kommende datakilder (Veikart)

  • APK-Versjonsdiff: Automatisk varsling av nye tillatelser eller domener mellom to app-utgivelser.
  • Passive DNS & Geoposisjon: Kartlegging av hvor i verden serverne appen snakker med faktisk fysisk befinner seg.
  • Certificate Transparency: Overvåking av utgiverens krypteringssertifikater for å oppdage uventede endringer.

6. Virksomhetsperspektivet & NIS2

For selskaper, ledelse og offentlig sektor handler digital tillit i dag om mer enn bare å unngå virus. Med innføringen av strenge europeiske regelverk som NIS2 og skjerpede krav til omdømme, kreves det dypere innsikt i digitale verdikjeder.

CyberProff hjelper virksomheter med å visualisere 3.- og 4.-partsrisiko. Hvis en underleverandør av telemetri, identitetskontroll (f.eks. BankID) eller push-varslinger opplever problemer, viser våre avhengighetsgrafer nøyaktig hvordan det påvirker bedriftens kritiske app-partnere. Dette forenkler risikostyringen uten tunge og ugjennomtrengelige sikkerhetsbegreper.

7. Begrensninger og ansvarlighet

Våre automatiserte observasjoner er basert på øyeblikksbilder av tilgjengelige filer, og apper endrer seg kontinuerlig gjennom dynamisk skykonfigurasjon (som Firebase Remote Config). Funnene må derfor tolkes som indikatorer, ikke som en absolutt eller evigvarende fasit.

Dersom vi under analyse oppdager unødvendig eksponering av sensitive test-, staging- eller ikke-produksjonsmiljøer, praktiserer vi ansvarlig varsling (responsible disclosure). Det betyr at vi tar kontakt med applikasjonens utvikler direkte for å gi dem mulighet til å lukke avviket, før vi detaljerer profilene bredt på den åpne plattformen.