Flertallet af Android-telefoner og -tablets kan indeholde et alvorligt sikkerhedshul, som gør det muligt at installere malware, uden brugeren behøver at gøre noget. Advarslen kommer fra sikkerhedsfirmaet Zimperium i et blogindlæg.
Sikkerhedshullet findes i et bibliotek i Android-koden, som bruges til afvikling af forskellige medieformater. Zimperium oplyser, at selskabet har delt oplysningerne om sikkerhedshullet med Google, som har patchet koden i Android Open Source Project.
Derfra skal sikkerhedsopdateringen imidlertid videre til de enkelte Android-enheder, og det vil være op til hver enkelt producent. Flere af producenterne af Android-telefoner er blevet kritiseret for at stoppe med at levere opdateringer til ældre modeller efter forholdsvis kort tid, og mange opdateres slet ikke efter to år.
Sikkerhedshullet findes i Android-versioner helt tilbage til Android 2.2 og frem til Android 5.1.1.
Det bør bemærkes, at Zimperium, som vil præsentere yderligere detaljer om sårbarheden på sikkerhedskonferencen Black Hat til august, ikke lægger fingre imellem, når selskabet skal beskrive, hvor alvorligt sikkerhedshullet er.
Men det fremgår samtidig af blogindlægget, at det især er enheder med Jelly Bean ældre ældre udgaver af Android, som er udsatte, fordi det i disse versioner er lettere at udnytte sikkerhedshullet. Eller rettere sikkerhedshullerne, da der er tale om mindst syv særskilte sårbarheder.
Uanset hvor stor vægt man tillægger den dramatiske retorik i Zimperiums blogindlæg, så er ét af scenarierne for de mest sårbare Android-versioner alvorligt.
Det vil nemlig være muligt at sende en MMS-besked til en telefon, hvor sårbarheden kan udnyttes til at afvikle ondsindet kode og installere malware på telefonen, uden brugeren behøver at åbne beskeden.
Det vil indebære, at man eksempelvis kan sende beskeden til modtageren om natten, inficere telefonen og slette sporene efter beskeden, så brugeren aldrig opdager, at der blev modtaget en besked. Dermed vil brugeren ikke opdage, at der er lagt en bagdør på telefonen med fuld adgang til hele systemet.
I en udtalelse til Ars Technica oplyser teknisk chef Joshua Drake, at Firefox også var sårbar over for det samme sikkerhedshul frem til Firefox 38.