Skaffa en egen hemsida   

Ladda om sidan/Synkronisera inloggning

SJs app läcker resenärsinformation

Uppdatering 21:56: SJ har under kvällen täppt till informationsläckan. Det är inihelvete snabbt agerat, och möjligheten att kartlägga deras användare är därmed eliminerad. Nedanstående information är således att betrakta som inaktuell och hopplöst föråldrad.

 

 

Igår lanserade SJ till slut sin efterlängtade app. Många har påpekat dess likheter med Tågtavlan, vilket må vara hänt - Tågtavlan kom till för ett och ett halvt år sedan på grund av att SJ då saknade en dylik app, så att det finns likheter är egentligen inte särskilt konstigt.

 

SJs app kommunicerar, likt Tågtavlan, över ett öppet HTTP-baserat protokoll. Erik Petterson har kartlagt detta protokoll, och gjort en intressant upptäckt: Om du använder SJ:s app, så exponerar de öppet alla bevakningar du och alla andra har lagt upp på nätet, tillsammans med telefonernas unika ID (UUID) som i förlängningen kan användas för att identifiera användarna. Låter det illa? Det är det:

Vem som helst kan ladda ned denna information och använda den för att identifiera deras kunder och kartlägga deras resevanor.

Att få tag i informationen är så enkelt som att klicka på en länk. Att koppla telefonernas ID-nummer till deras ägare är lite trixigare, men det finns goda skäl till att både Google och Apple är tydliga med att telefonernas unika IDn inte ska strösslas med hur som helst.

 

En annan pikant detalj är att samma öppna gränssnitt till och med kan användas av illvilliga individer för att lägga till, ta bort och/eller ändra alla bevakningar.

 

Jag publicerar inte direktlänken till datat här, men utförlig teknisk information om kommunikationsprotokollet hittas på en länk som jag har raderat eftersom det inte finns någon poäng med att fortsätta banka på den här hästen.

Att använda sig av det tror jag dock är en dålig idé - detta är ett uppenbart privat gränssnitt mot ett företags data, även om de har lämnat ytterdörren på vid gavel. Ett skolexempel på security through obscurity, kan man säga.

 

Vid 15-tiden kom svar från SJ: "Det finns ingen personlig info i appen, inte ens UD ID. Det vi kallar device ID är endast kopplat till appen. Trots det ska vi göra om den så den blir krypterad så fort som möjligt."

 

Det finns inget fel, men det ska ändå åtgärdas. Glasklart?!

Min iPhones UUID (hämtat med Ad Hoc Helper):

 

 

Optisk illusion Min iPhones UUID i subscriptions.json:

Jag kallar slarvigt denna teckenserie för UUID (Universally Unique Identifier), en mer generell term än UDID (Unique Device Identifier). Båda uttrycken används av hävd i iOS-världen för att beskriva samma sak, nämligen telefonens unika ID-nummer. Se t.ex. http://www.ispeeddial.com/how-to-find-your-iphone-uuid/.

 

 

Strax efter att dessa bilder postades återkom SJ med följande besked på Twitter: "Vi var övertygade om att vi hade rätt. Nu undersöker vi vad detta beror på och ska åtgärda snarast. Vi hade fått försäkringar från vår dataleverantör att mobildevise-ID inte skulle synas. Nu går det bevisligen att spåra användartelefonen. Det är olyckligt och ska ändras snarast". Jättebra, och föredömligt snabbt agerat med tanke på att problemet upptäcktes vid lunchtid.

 

Jag har även pratat med SJ:s projektledare Tobias över en svajig mobillinje. Jag kunde inte urskilja några svordomar (vilket hedrar honom), och såvitt jag kunde förstå hade de alltså beställt en lösning där interna, slumpmässiga ID-sekvenser skulle användas istället för UUID och även fått detta bekräftat av leverantören idag. Därför var de helt säkra på att ovanstående beskrivning av problemet var fel, och därav deras tvärsäkra, men felaktiga, första svar. Sannolikt är det dessutom endast iPhone-appen som har detta fel.

 

Lösningen läcker UUID:s som ett såll i dagsläget, men det beror alltså på att leverantören har tabbat sig. Foliehatt av, således, och som utvecklare som också gjort sig skyldig till ett och annat misstag genom åren tänker jag inte börja kasta sten i det glashuset.

 

Torsdagen den 29 september 2011 kl. 11:39

Taggar: , ,

Allmänt | Permalänk | Kommentarer [4] Kommentera detta inlägg

 

Moms, appar, och dubbelbeskattning

2011-10-05: Räkneexemplen beräknade på 15% moms i Luxemburg

 

2011-10-03: Räkneexemplen uppdaterade efter feedback från Lars Edvardsson

 

2011-09-17: Jag ser att Skatteverket dyker upp och läser detta inlägg med jämna mellanrum. Kommentera gärna - finns det idag något sätt för svenska apputvecklare att undvika dubbel moms? Pågår diskussioner mellan berörda parter? Har jag missuppfattat något? Har jag genom att yttra mig öppet i frågan kvalificerat mig till en mäktig skatterevision nästa år?

 

Som svensk utvecklare av appar hamnar man i en internationell skattemässig gråzon.

I EU finns något som heter "momsdirektivet", som säger att vid handel inom EU ska säljaren betala moms i sitt eget land. Det låter enkelt, men det kan bli sällsynt rörigt om alla inte är överens om vem som är säljaren.

Som apputvecklare skickar jag in mina appar till Apple (på Irland) som efter granskning och godkännande publicerar apparna på App Store där de kan köpas av kunderna.

 

Jag som utvecklare bestämmer vad appen ska kosta, och kan även välja vilka länder den ska säljas i. Själva försäljningskedjan har utvecklaren däremot ingen kontroll över, utan varje månad får man 70% provision på försäljningarna av sina appar i form av en utbetalning till sitt bankkonto. Apple sköter även marknadsföring av apparna, inte enbart i App Store utan jag har själv flera gånger sett mina appar dyka upp i annonser i Expressen och Aftonbladet utan min egen inblandning.

 

Apple betraktas på Irland som säljare av apparna och betalar således in moms på Irland. I Sverige är dock regelverket formulerat på ett sådant sätt att Skatteverket enligt ett ställningstagande 2011-06-16 betraktar utvecklaren som säljaren av appen, och därmed ska utvecklaren betala moms i Sverige. Momsen räknas på den summa som köparen har betalat, inte den provision utvecklaren fått av Apple. I tillämpningsinformationen uppger Skatteverket att vid kontroll ska detta i normalfallet inte avse omsättning före 2011-10-01, men hur detta ska tolkas är oklart.

 

I rena pengar gäller följande:

För en app som kostar köparen 15:- är 3:- svensk moms.

Apple tar 30% (varav en del betalas som moms på Irland) av summan exklusive moms som de betalar in i Luxemburg, så utvecklaren får 10:50 8,925 kr för varje såld app. Men av denna summa är alltså 3:- moms som köparen betalar till Skatteverket via utvecklaren.

Av 15:- tillfaller alltså 7:50 5:90 utvecklaren - före skatt och egenavgifter, förstås.

 

Samtidigt betalar köparen sammanlagt 5:25 i moms - 3:- i Sverige, och 2:60 på Irland (jag tror deras momssats är 21%) 2:25 i Luxemburg. Den sistnämnda summan tas från Apples 30%, men Momsen räknas alltid på vad kunden har betalat och är en skatt som kunden betalar till staten i säljarens land - i detta fall både Sverige och Irland Luxemburg eftersom de inte är överens om vem som är säljare.

15:00 - 5:60 5:25 = 9:40 9:75 är alltså vad appen kostar exklusive moms. 5:60 av 9:40 är 59,6% 5:25 av 9:75 är 53,8%.

För appar som utvecklas av svenska företagare är alltså momssatsen i realiteten nästan 60% 54%. Var det verkligen såhär man tänkte sig att handel inom EU skulle fungera?

 

Ett problem i sammanhanget är att eftersom Apple anser sig betala momsen, så får man ingen momsspecifikation av dem i samband med utbetalningarna. För att räkna ut hur stor del av intäkterna som ska redovisas som moms så borde formeln utgående moms = (2/7)(3/8,925)*provisionen vara så nära "rätt" man kan komma, förutsatt att man enbart säljer inom EU (3/10:50 = 2/7). Har man försäljning utanför EU i denna summa så ska den räknas bort först - lycka till med det!

 

Om man har ett företag som heter Stardoll så har man fått dispens av regeringen, och behöver således varken slita sitt hår över den här röran eller oroa sig för Skatteverkets ofelbara specialgranskning av apputvecklare till taxeringen 2011.

 

Vi andra gör klokast i att följa Skatteverkets regler och hoppas att Irland Luxemburg och Sverige snarast kommer överens om var momsen ska betalas.

 

 

Äntligen börjar saken belysas i media:

http://svt.se/2.22620/1.2551997/dubbelmoms_slar_mot_app-foretag

 

Onsdagen den 14 september 2011 kl. 13:47

Taggar: , , , , ,

Allmänt | Permalänk | Kommentarer [8] Kommentera detta inlägg

 

Driftstörningar

Internetleverantören TDC har för närvarande driftproblem i Katrineholmsområdet, vilket påverkar de tjänster jag driver. All datatrafik går för närvarande över en reservanslutning med låg kapacitet, vilket bland annat innebär att webbtjänsterna upplevs som tröga och Tåg.Info inte kan hämta information från Trafikverket i den takt som behövs.

 

Felet beräknas vara avhjälpt vid lunchtid imorgon. Se även http://driftinfo.tdc.se/.

 

Onsdagen den 7 september 2011 kl. 22:28

Driftinformation | Permalänk | Kommentarer [0] Kommentera detta inlägg

 

 		 nil

 

Taggar

Tågtavlan App Store iPhone Tåg.Info dubbelmoms Apple moms Skatteverket API Android SMS apputvecklare iJuholt Tågkoll SSL tågpositioner HTTP SJ EU skatt Espresso House iPad SJ AB Twitter geopositionering

Kategorier

Allmänt

Driftinformation

iPhone

Tågtavlan

Webb

Arkiv

 2011

 2010

 2009

Bloggar

Zoomin: Nyheter & feedback

Länkar

Nyligen.se

Flöden

RSS-flödeRSS 2.0

 
.

Follow tstorm on Twitter

View Theodor Storm's profile on LinkedIn

 

Veckostatistik för Zoomin.se:

Besöksstatistik för Zoomin på SIS-index

 

Veckostatistik för Upprop.nu:

Besöksstatistik för Upprop.nu på SIS-index