Det är IT-säkerhetsföretaget Symantec som har kommit fram till resultatet genom att placera ut 50 smarta telefoner på offentliga platser i fem storstäder i Nordamerika.
Telefonerna var utrustade med falska applikationer och program som installerats av undersökningsföretaget och som tillsammans med en GPS-sändare visade var luren befann sig. Telefonerna skickade sedan information om vad upphittaren gjorde med enheten till en central databas.
Hälften av upphittarna valde att lämna tillbaka telefonen, 89 procent försökte ta del av personlig information om ägaren via e-post, sociala medier och textmeddelanden. Drygt hälften av upphittarna försökte få tillgång till information länkad till ägarens arbetsplats - och bankkonton som var kopplade till telefonen.
Säkerhetskod
Att ha telefonen inställd på ett sådant sätt att man alltid måste slå in en säkerhetskod för att komma in i telefonen är enligt Symantec ett pålitligt sätt att undvika att klåfingriga upphittare snokar i telefonen.
Kurirens rundringning visar att få arbetsgivare har en säkerhetspolicy och rekommendationer för hur anställda ska hantera smarta telefoner.
- Vi är mitt uppe i att formulera riktlinjer för säkert användande av smartphones, de ska vara ute om fyra till sex veckor men just nu är det tunt på den fronten, säger Berndt Hällgren, informationssäkerhetssamordnare i Luleå kommun.
Det handlar om vilka typer av applikationer som är tillåtna på mobilen, vilka man ska undvika och hur telefonen ska hanteras för att sekretessbelagd information inte ska hamna i orätta händer.
- Vi ska också få till ett bättre skydd när man synkar e-posten med telefonen. Åtminstone att e-posten blir krypterad så ingen utomstående kommer åt den, säger Berndt Hällgren.
Skriver policy
Han känner inte till att någon kommunanställd i Luleå drabbats av någonting som kan ses som en säkerhetsrisk, men alla riktlinjer och åtgärder bygger enligt Berndt Hällgren på erfarenheter från andra företag och kommuner.
- 2006 drabbades vi av en trojan i vårt nätverk som kommit antingen via en bärbar dator, e-post eller USB-sticka. Nu fanns det inte så många smartphones då men vi kan inte utesluta att det kan ha kommit från en smartphone. Det är dock den enda incidenten jag känner till.
Även SSAB uppger att de håller på att skriva en policy för mobiltelefoner. Redan nu har företaget en informationssäkerhetspolicy som behöver utvecklas ytterligare men av säkerhetsskäl vill inte företaget kommentera på vilket sätt, inte heller om de drabbats av någon incident som kan ses som en säkerhetsrisk.