Alvorligt sikkerhedshul rammer 950 mio. Android-enheder

28. juli 2015 kl. 09:3223
Alvorligt sikkerhedshul rammer 950 mio. Android-enheder
Illustration: Ubuntus hjemmeside.
En MMS-besked kan bruges til at installere malware på en Android-telefon, uden brugeren behøver at åbne beskeden.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Flertallet af Android-telefoner og -tablets kan indeholde et alvorligt sikkerhedshul, som gør det muligt at installere malware, uden brugeren behøver at gøre noget. Advarslen kommer fra sikkerhedsfirmaet Zimperium i et blogindlæg.

Sikkerhedshullet findes i et bibliotek i Android-koden, som bruges til afvikling af forskellige medieformater. Zimperium oplyser, at selskabet har delt oplysningerne om sikkerhedshullet med Google, som har patchet koden i Android Open Source Project.

Derfra skal sikkerhedsopdateringen imidlertid videre til de enkelte Android-enheder, og det vil være op til hver enkelt producent. Flere af producenterne af Android-telefoner er blevet kritiseret for at stoppe med at levere opdateringer til ældre modeller efter forholdsvis kort tid, og mange opdateres slet ikke efter to år.

Sikkerhedshullet findes i Android-versioner helt tilbage til Android 2.2 og frem til Android 5.1.1.

Artiklen fortsætter efter annoncen

Det bør bemærkes, at Zimperium, som vil præsentere yderligere detaljer om sårbarheden på sikkerhedskonferencen Black Hat til august, ikke lægger fingre imellem, når selskabet skal beskrive, hvor alvorligt sikkerhedshullet er.

Men det fremgår samtidig af blogindlægget, at det især er enheder med Jelly Bean ældre ældre udgaver af Android, som er udsatte, fordi det i disse versioner er lettere at udnytte sikkerhedshullet. Eller rettere sikkerhedshullerne, da der er tale om mindst syv særskilte sårbarheder.

Uanset hvor stor vægt man tillægger den dramatiske retorik i Zimperiums blogindlæg, så er ét af scenarierne for de mest sårbare Android-versioner alvorligt.

Det vil nemlig være muligt at sende en MMS-besked til en telefon, hvor sårbarheden kan udnyttes til at afvikle ondsindet kode og installere malware på telefonen, uden brugeren behøver at åbne beskeden.

Det vil indebære, at man eksempelvis kan sende beskeden til modtageren om natten, inficere telefonen og slette sporene efter beskeden, så brugeren aldrig opdager, at der blev modtaget en besked. Dermed vil brugeren ikke opdage, at der er lagt en bagdør på telefonen med fuld adgang til hele systemet.

I en udtalelse til Ars Technica oplyser teknisk chef Joshua Drake, at Firefox også var sårbar over for det samme sikkerhedshul frem til Firefox 38.

Emner
23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
Jimmy Christiansen
2. august 2015 kl. 22:54

Apple tilbyder sidst jeg så det opdateringer inklusiv sikkerheds opdateringer til mobiler der er op til 3-3.5 år gamle, det ser man sjældent på Android markedet.

Det er jo stadig ikke nok, 5 år burde være minimum.

Med Android er det trods alt muligt i mange tilfælde at opdatere. Det kræver nogle evner at gøre det ( men vejledninger er til at finde ). Den mulighed har man slet ikke ikke på Apple's produkter, da det er et helt lukket økosystem.

Bemærk at modsat Apple går Android mod at blive mere åbent: der er et projekt igang til at sammensmelte Android og Linux kernelen. Når det når i mål bliver det efter alt at dømme nemmere at holde ens telefon opdateret udenom telefonproducenten.

Visse Android telefoner kan også opgraderes til FirefoxOS.

  • more_vert
    • insert_linkKopier link
23
Rune Jensen
8. august 2015 kl. 20:00

Bemærk at modsat Apple går Android mod at blive mere åbent: der er et projekt igang til at sammensmelte Android og Linux kernelen.

Vil dette betyde atman snart kan afvikle Android APPs på sin desktop Linux distro?

Har du evt. link?

Visse Android telefoner kan også opgraderes til FirefoxOS.

Jo... Men hele Mozillas udvikling har længe stået på Googles nåde. Jeg kan ikke rigtigt forestille mig Google støtte Mozillas OS med penge. Og penge er nødvendige til udvikling og ikke mindst - markedsføring.

Jeg er stor Mozilla-fan. Men når Firefox konstant vedbliver med at være hamrende langsom, og når Chrome samtidig får smooth scroll (det er i nyeste version af Chrome), så svinder lysten til at bruge Firefox.

Firefox lever stadig på extentions. Men også der sker udvikling for Chrome... efterhånden som brugerbasen stiger.

Jeg mangler i Chrome en ordentlig java-script debugger, som Firefox har. Men også det kommer nok.

Jeg kan ikke se hvordan Mozilla kan vinde over Google uden en lige så stor tegnebog.

  • more_vert
    • insert_linkKopier link
24
Jimmy Christiansen
9. august 2015 kl. 18:30

Vil dette betyde atman snart kan afvikle Android APPs på sin desktop Linux distro?</p>
<p>Har du evt. link?

Det ser faktisk ud til at Android Mainlining er meget tæt på at være færdigt, i hvert tilfælde længere end jeg lige regnede med. Prøv at se hvor meget der er kommet ind her: https://wiki.linaro.org/WorkingGroups/Kernel/AndroidUpstreaming

Tilbage til dit spørgsmål ja det kan man, der er en række metoderhttps://www.maketecheasier.com/running-android-apps-on-linux/http://news.softpedia.com/news/kde-devs-working-to-bring-android-apps-on-linux-487070.shtml

Omvendt ser det ud til at det modsatte, køre Linux på Android hardware, også er muligt et par eksempler:http://linuxonandroid.org/http://www.pcadvisor.co.uk/how-to/linux/how-install-ubuntu-touch-image-3531970/

Så vi er ved at være derhenne hvor det er ikke kun hos Microsoft og Google man kan køre samme OS på alle sine enheder.

  • more_vert
    • insert_linkKopier link
15
Mohammad Ali
29. juli 2015 kl. 13:19

Men jeg har nu haft iPhone siden 2007 og iMac længere. Nu også ipad og Watch så ja jeg er nok frelst. Men jeg har aldrig været ude for virus eller andre skadelige ting. Jeg betaler ikke ekstra for diverse programmer til at beskytte mig. Alt fungerer perfekt.

  • more_vert
    • insert_linkKopier link
17
Bent Jensen
29. juli 2015 kl. 17:25

Nej men du betaler extra for programmer, som vi andre har gratis.

Har brugt omkring 100 til 150,- kr. i alle mine snart 10 år med Android til Apps. Hvor meget har du måtte købe for?

  • more_vert
    • insert_linkKopier link
19
Jimmy Christiansen
2. august 2015 kl. 22:36

Det var dog en underlig måde at opgøre det på. Jeg har brugt 0 kroner på min iPhone - vinder jeg så over dig?

Du har betalt ~2-3 gange mere for din telefon. Så nej du vinder ikke over ham, du er langt bagefter. Se bare prisforskellen mellen en OnePlus 2 og nyeste iPhone.

  • more_vert
    • insert_linkKopier link
11
Erik P Jensen
28. juli 2015 kl. 17:37

Datafon; glimrende dansk udtryk for det engelse ord smartphone. Tak for ordet :-)

  • more_vert
    • insert_linkKopier link
2
Gert G. Larsen
28. juli 2015 kl. 11:11

Så hvad gør alle Android-brugerne NU OG HER ved det?

Dem der er teknisk kyndige kan vel bare slå pågældende media library fra, eller erstatte det med et andet.

Hvad gør resten?

  • more_vert
    • insert_linkKopier link
1
Mohammad Ali
28. juli 2015 kl. 11:06

Det er derfor jeg har en iPhone. Den er altid opdateret og har ingen problemer med virus eller snavs

  • more_vert
    • insert_linkKopier link
16
Flemming Seerup
29. juli 2015 kl. 13:28

edit: var allerede kommenteret :)

  • more_vert
    • insert_linkKopier link
9
Ivo Santos
28. juli 2015 kl. 14:54

Hvad skal man med en såkaldt smart-telefon når man kan nøjes med en snotdum fastnet telefon, som desuden kan repareres hvis den går i stykker.

Ja, jeg ved godt det er en åndssvag kommentar, men nu kunne jeg altså ikke lade vær.

  • more_vert
    • insert_linkKopier link
10
Indsendt af David Askirk Fotel (ikke efterprøvet) den tir, 07/28/2015 - 15:04

Det er en god kommentar du kommer med Ivo. For hvorfor er det vi har en datafon? Er det for at læse mails alle steder, hvis det er, hvorfor ønsker vi at have endnu flere kontakt muligheder gennem sådan en telefon?

Jeg har selv en datafon, men overvejer da tit hvorfor, altså hvad giver det mig at have en datafon.

  • more_vert
    • insert_linkKopier link
8
René Nielsen
28. juli 2015 kl. 14:05

Alt er sårbart også Apples produkter. Apple fremstår dog udadtil mere sikkerhedsmindet, men lad dig ikke narre til at tro at de ikke få malware.

For et par år siden skulle man have fysisk adgang til en Mac, Ipad eller Iphone for at kunne inficerer den med Malware – idag er det er ikke længere tilfældet fordi der opnås adgang til udstyret via sikkerhedshuller i andre produkter som f.eks. Flash!

Læs f.eks. denne par år gamle vejledning til NSA ansatte om hvordan de beskytter deres Mac af Rich Mogull - http://www.macworld.com/article/2048160/how-the-nsa-snoop-proofs-its-macs.html

  • more_vert
    • insert_linkKopier link
5
Erik P Jensen
28. juli 2015 kl. 11:50

Og det er altså ikke sandt, også selv om du sikkert er hjernevasket til at tro det. Apple er virkelig sløve og nærmest ligeglade med at lukke kendte sikkerhedsbriste. Mac computer er iøvrig endnu værre. Kan gamle iphones iøvrigt opdateres, eller er det i lighed med de store Android producenter kun de enheder, der har et par år på bagen og iøvrigt skal havde hardware som kan fungere med nye opdateringer.

http://nyhederne.tv2.dk/nyheder/2015-05-28-apple-bekraefter-virus-sms-nu-vil-de-fikse-det

http://www.dailymail.co.uk/sciencetech/article-2823311/Apple-devices-malware-attack-iphones-iPads-Macs-hit-WireLurker-virus-steals-personal-information.html

http://www.ksdk.com/story/life/2015/04/21/apple-warns-of-app-virus/26143991/

  • more_vert
    • insert_linkKopier link
4
Søren Grønning
28. juli 2015 kl. 11:40

Dette klassiske Apple-argument om 'ingen virus og malware' er jo helt og holdent urelateret til denne sag, hvor der er tale om en sårbarhed i håndteringen af MMS'er på Android, der gør at at man gennem en MMS besked kan installere malware på telefonen selv uden brugerens indblanden.

Det har således ikke noget at gøre med om der er officielle virus- og malwaretrusler mod platformen økosystem som sådan, men om at en hvilken som helst kan placere malware på telefonen udenom dens øvrige sikkerhedsfunktioner. Dette vil være at sammenligne med at der er en tilsvarende fejl i en lignende Apple implementation, som dernæst kan udnyttes til at plante software på din iPhone på en måde som omgår sikkerhedsfunktionerne i iOS, og som Apple ikke på forhånd kan screene for.

Så hvor du måske officielt set (7-9-13) kan se dig fri for virus og malware på iOS, siger dette intet om plausibiliteten af fejl i iOS som sådan, som vil kunne tillade noget tilsvarende som med Android i dette tilfælde.

-Og tro mig, der er også fejl i iOS . . . Men der hvor Apple-brugere har lidt mere at trøste sig ved er at NÅR Apple patcher, kan disse patches installeres af så at sige alle brugere!

[Zero-day exploit lets App Store malware steal OS X and iOS passwords] (http://www.macworld.com/article/2937239/zero-day-exploit-lets-app-store-malware-steal-os-x-and-ios-passwords.html)

[Apple Criticised for Not Patching OS X Yosemite Zero-Day Vulnerability] (http://www.intego.com/mac-security-blog/yosemite-zero-day/)

[Google's Project Zero reveals three Apple OS X zero-day vulnerabilities] (http://www.zdnet.com/article/googles-project-zero-reveals-three-apple-os-x-zero-day-vulnerabilities/)

[Apple iOS Zero-Day PDF Vulnerability Exposed] (http://www.informationweek.com/mobile/apple-ios-zero-day-pdf-vulnerability-exposed/d/d-id/1098770?)

  • more_vert
    • insert_linkKopier link
12
Mark Walker
28. juli 2015 kl. 18:38

Det er korrekt nok at Apple ikke er den skarpeste kniv i skuffen når det kommer til at lukke sikkerhedshuller. Men de plejer nu at få dem lukket. Deres styrke ser jeg mere i at de har en meget stor brugerbase af telefoner som er opdateret. I moddsætning til Android er iOS markedet ikke fragmenteret og lider ikke last af at mobil producenterne får lavet en opdatering til deres telefoner. Apple tilbyder sidst jeg så det opdateringer inklusiv sikkerheds opdateringer til mobiler der er op til 3-3.5 år gamle, det ser man sjældent på Android markedet. Har du ikke en ret ny Android telefon (1,5 år eller nyere) skipper leverandøren ofte udviklingen af OS til den og man er nød til at root'e den for at få noget der ligner et moderne OS på den. Jeg tror mormor eller gamle fætter Kurt sætter stor pris på at der er et firma som holder hans +2års gamle iPhone relativt opdateret uden at skulle være et teknisk geni.

My 2c

  • more_vert
    • insert_linkKopier link
21
Nikolaj Brinch Jørgensen
7. august 2015 kl. 15:51

Apple tilbyder sidst jeg så det opdateringer inklusiv sikkerheds opdateringer til mobiler der er op til 3-3.5 år gamle, det ser man sjældent på Android markedet.

Den nyeste iOS 8 er supporteret på iPhone 4S, som udkom oktober 2011, så det er 4 år. Det er annonceret af iOS 9 også vil understøtte iPhone 4S, og iOS 9 ruller vel også 1 år, så det bliver 5 års support af et håndsæt. Det tror jeg selv ikke Nokia formåede med deres feature-phones. Det betyder ligeledes at 4S, 5, 5S, 6, 6S alle vil triller på samme iOS version altså 5 generationer af telefoner på samme OS. For iPads er det således at iPad 2 er understøttet af iOS 8 og vil også blive understøttet af iOS 9, hvilket betyder at 2, 3, 4, Air og Air 2, Air 3 vil være omfattet altså 6 generationer af iPads. Så jeg tror det er sikkert at sige at Apple gøre mere end de fleste for at deres brugere er opdaterede.

Jeg ved ikke hvordan historierne er for Nokia Lumia og Windows, men der skulle så samtlige Nokia Lumia modeller kunne afvikle Windows 10 til sammenligning.

For Nexus, Galaxy, og de andre (Moto, Xperia osv.) er jeg ret sikker på det ikke forholder sig således.

Men Apple vil også have mange penge for deres telefoner, men til gengæld får man også et håndsæt der holder rigtigt længe, hvis man passer på det, og ikke bliver forældet (flere jeg kender er først nu her i 2015 skiftet fra iPhone 3GS). Desuden tager iPhone vel stadigt de bedste billeder (og jeg mener ikke kampen om MP).

Om der er flere eller færre sikkerhedshuller i iOS vs Windows Phone vs Android er vel sådan nogenlunde ligeligt fordelt, og ikke en væsentlig parameter når det kommer til indkøb.

Pris, anvendelighed, style, integration osv. er vigtigere. De fleste forbrugere opdatere alligevel ikke deres apparaters software, det er kun når vi teknikere kommer forbi og gør det for dem.

  • more_vert
    • insert_linkKopier link
22
Jimmy Christiansen
8. august 2015 kl. 14:14

Den nyeste iOS 8 er supporteret på iPhone 4S, som udkom oktober 2011, så det er 4 år. Det er annonceret af iOS 9 også vil understøtte iPhone 4S, og iOS 9 ruller vel også 1 år, så det bliver 5 års support af et håndsæt
...
...
Pris, anvendelighed, style, integration osv. er vigtigere. De fleste forbrugere opdatere alligevel ikke deres apparaters software, det er kun når vi teknikere kommer forbi og gør det for dem.

Det lyder godt med de 5 år. Men det er også langt nemmere for dem når de har fuld kontrol over både SW og HW.

Forbrugere burde opdatere deres soft- og hard- ware akkurat som på PC. Men indtil nu har markedet været for lukket uanset om vi snakker Apple eller Android.

Lad os håbe der kommer flere produkter som Fairphone. Hvor meget hardware kan skiftes uden værktøj og software mest muligt er open source:http://ifixit.org/blog/7292/fairphone2/https://www.fairphone.com/projects/creating-a-developer-friendly-software-environment/https://www.fairphone.com/phone/

  • more_vert
    • insert_linkKopier link
14
Bent Jensen
29. juli 2015 kl. 13:14

Du kan stadig købe 2-3 stykker, og have penge i overskud. Så du er dækket med løbende ny teknologi og telefon i 10 år, for den samme pris.

Så alle der kan finde ud af at opdatere, så vil jeg se påhttps://oneplus.net/dk

Den gamle kan nok købes billigere nu, men vil skrive op til denne også.

  • more_vert
    • insert_linkKopier link