Vår metodikk og filosofi
Moderne apper består av komplekse digitale avhengigheter som er usynlige for de fleste. CyberProff analyserer offentlig observerbare signaler for å gjøre programvare mer transparent, forklart og etterprøvbar.
1. Hva vi observerer
Plattformen samler inn signaler som er åpent tilgjengelige i applikasjonspakker og offisielle distribusjonskanaler. Vi bruker begrepet observerer, ettersom vi utelukkende vurderer strukturelle egenskaper uten aktiv overvåking av brukerdata.
Deklarert funksjonalitet
Vi leser appens manifestfil (f.eks. AndroidManifest.xml) for å kartlegge hvilke systemressurser som kreves, som kamera, lokasjon eller kontaktlister.
Eksterne endepunkter
Vi trekker ut statiske domener og vertsadresser applikasjonen er konfigurert til å snakke med for kjernefunksjonalitet, feilrapportering og skylagring.
Tredjepartsbyggeklosser
Vi identifiserer kjente biblioteker og utviklingssett (SDK-er) som benyttes til analyse, sporing eller stabilitetsovervåking (f.eks. Sentry, Firebase).
2. Hva CyberProff IKKE gjør
For å opptre som en uavhengig og ansvarlig samfunnsaktør, har vi satt svært tydelige rammer for hva vår teknologi gjør, og spesielt hva den ikke gjør:
Dette gjør vi ikke:
- Ingen full sikkerhetsrevisjon: Vi verifiserer ikke sårbarheter i backend-systemer eller utfører dyp kildekoderevisjon.
- Ingen penetrasjonstesting: Vi angriper eller tester ikke grensene til app-leverandørens infrastruktur.
- Ingen reverse engineering: Vi dekrypterer eller rekonstruerer ikke proprietær, lukket kildekode.
- Ingen intensjonsvurdering: Vi dømmer ikke om en app er "god" eller "ond". Vi viser kun råfakta.
- Ingen "trygg/utrygg"-stempling: Vi unngår forenklede alarmsignaler eller unødvendig "scanner-drama".
Hva vi gjør i stedet:
CyberProff presenterer utelukkende strukturelle, observerbare fakta og setter disse inn i en helhetlig, pedagogisk kontekst. Målet er å gi brukeren nok saklig innsikt til å ta egne, velinformerte valg basert på forståelse fremfor frykt.
3. Ulike lag av apptransparens
Appbutikker, personvernerklæringer og tekniske signaler belyser ulike deler av hvordan moderne programvare fungerer. CyberProff konkurrerer ikke med egenerklæringer, men utfyller dem med uavhengige, teknisk observerbare fakta.
| Tema | Google Play | Appens Vilkår & Personvern | CyberProff |
|---|---|---|---|
| Primær rolle | Appbutikk og compliance-erklæring | Juridisk informasjon fra leverandør | Teknisk transparens og signalanalyse |
| Datakilde | Utvikleroppgitte deklarasjoner | Selskapets egne beskrivelser | Observerbare appsignaler og åpen teknisk analyse |
| Nettverksdomener | Ikke synlig | Vanligvis ikke spesifisert | Viser konkrete domener og tjenester |
| SDK-er & Telemetri | Ikke eksplisitt oppgitt | Beskrevet på overordnet nivå | Firebase, Sentry og andre signaler identifiseres |
| Leverandørkjede | Ikke visualisert | Delvis beskrevet i løpende tekst | Visualisert som avhengighetstre (Supply Chain) |
| Målgruppe | Vanlige appbrukere | Kunder og regulatoriske krav | Brukere, virksomheter, sikkerhetsmiljøer og NIS2 |
| Begrensning | Bygger på selvrapportering | Fokus på juss fremfor arkitektur | Observerer signaler, ikke intern kildekode |
CyberProff baserer seg på offentlig observerbare signaler og erstatter ikke apputviklerens juridiske personvernerklæringer.
4. Slik fungerer analyseflyten
Fra en applikasjon pakkes ut til den lander som en visuell innholdsdeklarasjon på våre nettsider, går den gjennom en automatisert prosesseringslinje:
5. Datagrunnlag
Nåværende indikatorer
- Offentlig verifisert Google Play-metadata.
- Statisk manifest- og tillatelsesekstraksjon.
- Sanerte produksjonsdomener og kjerne-endepunkter.
- Identifisering av utgiveridentitet (Sertifikat SHA-256).
Kommende datakilder (Veikart)
- APK-Versjonsdiff: Automatisk varsling av nye tillatelser eller domener mellom to app-utgivelser.
- Passive DNS & Geoposisjon: Kartlegging av hvor i verden serverne appen snakker med faktisk fysisk befinner seg.
- Certificate Transparency: Overvåking av utgiverens krypteringssertifikater for å oppdage uventede endringer.
6. Virksomhetsperspektivet & NIS2
For selskaper, ledelse og offentlig sektor handler digital tillit i dag om mer enn bare å unngå virus. Med innføringen av strenge europeiske regelverk som NIS2 og skjerpede krav til omdømme, kreves det dypere innsikt i digitale verdikjeder.
CyberProff hjelper virksomheter med å visualisere 3.- og 4.-partsrisiko. Hvis en underleverandør av telemetri, identitetskontroll (f.eks. BankID) eller push-varslinger opplever problemer, viser våre avhengighetsgrafer nøyaktig hvordan det påvirker bedriftens kritiske app-partnere. Dette forenkler risikostyringen uten tunge og ugjennomtrengelige sikkerhetsbegreper.
7. Begrensninger og ansvarlighet
Våre automatiserte observasjoner er basert på øyeblikksbilder av tilgjengelige filer, og apper endrer seg kontinuerlig gjennom dynamisk skykonfigurasjon (som Firebase Remote Config). Funnene må derfor tolkes som indikatorer, ikke som en absolutt eller evigvarende fasit.
Dersom vi under analyse oppdager unødvendig eksponering av sensitive test-, staging- eller ikke-produksjonsmiljøer, praktiserer vi ansvarlig varsling (responsible disclosure). Det betyr at vi tar kontakt med applikasjonens utvikler direkte for å gi dem mulighet til å lukke avviket, før vi detaljerer profilene bredt på den åpne plattformen.