Alvorligt sikkerhedshul rammer 950 mio. Android-enheder

En MMS-besked kan bruges til at installere malware på en Android-telefon, uden brugeren behøver at åbne beskeden.

Flertallet af Android-telefoner og -tablets kan indeholde et alvorligt sikkerhedshul, som gør det muligt at installere malware, uden brugeren behøver at gøre noget. Advarslen kommer fra sikkerhedsfirmaet Zimperium i et blogindlæg.

Sikkerhedshullet findes i et bibliotek i Android-koden, som bruges til afvikling af forskellige medieformater. Zimperium oplyser, at selskabet har delt oplysningerne om sikkerhedshullet med Google, som har patchet koden i Android Open Source Project.

Derfra skal sikkerhedsopdateringen imidlertid videre til de enkelte Android-enheder, og det vil være op til hver enkelt producent. Flere af producenterne af Android-telefoner er blevet kritiseret for at stoppe med at levere opdateringer til ældre modeller efter forholdsvis kort tid, og mange opdateres slet ikke efter to år.

Sikkerhedshullet findes i Android-versioner helt tilbage til Android 2.2 og frem til Android 5.1.1.

Det bør bemærkes, at Zimperium, som vil præsentere yderligere detaljer om sårbarheden på sikkerhedskonferencen Black Hat til august, ikke lægger fingre imellem, når selskabet skal beskrive, hvor alvorligt sikkerhedshullet er.

Men det fremgår samtidig af blogindlægget, at det især er enheder med Jelly Bean ældre ældre udgaver af Android, som er udsatte, fordi det i disse versioner er lettere at udnytte sikkerhedshullet. Eller rettere sikkerhedshullerne, da der er tale om mindst syv særskilte sårbarheder.

Uanset hvor stor vægt man tillægger den dramatiske retorik i Zimperiums blogindlæg, så er ét af scenarierne for de mest sårbare Android-versioner alvorligt.

Det vil nemlig være muligt at sende en MMS-besked til en telefon, hvor sårbarheden kan udnyttes til at afvikle ondsindet kode og installere malware på telefonen, uden brugeren behøver at åbne beskeden.

Det vil indebære, at man eksempelvis kan sende beskeden til modtageren om natten, inficere telefonen og slette sporene efter beskeden, så brugeren aldrig opdager, at der blev modtaget en besked. Dermed vil brugeren ikke opdage, at der er lagt en bagdør på telefonen med fuld adgang til hele systemet.

I en udtalelse til Ars Technica oplyser teknisk chef Joshua Drake, at Firefox også var sårbar over for det samme sikkerhedshul frem til Firefox 38.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Grønning

Dette klassiske Apple-argument om 'ingen virus og malware' er jo helt og holdent urelateret til denne sag, hvor der er tale om en sårbarhed i håndteringen af MMS'er på Android, der gør at at man gennem en MMS besked kan installere malware på telefonen selv uden brugerens indblanden.

Det har således ikke noget at gøre med om der er officielle virus- og malwaretrusler mod platformen økosystem som sådan, men om at en hvilken som helst kan placere malware på telefonen udenom dens øvrige sikkerhedsfunktioner. Dette vil være at sammenligne med at der er en tilsvarende fejl i en lignende Apple implementation, som dernæst kan udnyttes til at plante software på din iPhone på en måde som omgår sikkerhedsfunktionerne i iOS, og som Apple ikke på forhånd kan screene for.

Så hvor du måske officielt set (7-9-13) kan se dig fri for virus og malware på iOS, siger dette intet om plausibiliteten af fejl i iOS som sådan, som vil kunne tillade noget tilsvarende som med Android i dette tilfælde.

-Og tro mig, der er også fejl i iOS . . . Men der hvor Apple-brugere har lidt mere at trøste sig ved er at NÅR Apple patcher, kan disse patches installeres af så at sige alle brugere!

[Zero-day exploit lets App Store malware steal OS X and iOS passwords] (http://www.macworld.com/article/2937239/zero-day-exploit-lets-app-store-...)

[Apple Criticised for Not Patching OS X Yosemite Zero-Day Vulnerability] (http://www.intego.com/mac-security-blog/yosemite-zero-day/)

[Google's Project Zero reveals three Apple OS X zero-day vulnerabilities] (http://www.zdnet.com/article/googles-project-zero-reveals-three-apple-os...)

[Apple iOS Zero-Day PDF Vulnerability Exposed] (http://www.informationweek.com/mobile/apple-ios-zero-day-pdf-vulnerabili...?)

  • 19
  • 0
Erik P Jensen

Og det er altså ikke sandt, også selv om du sikkert er hjernevasket til at tro det. Apple er virkelig sløve og nærmest ligeglade med at lukke kendte sikkerhedsbriste. Mac computer er iøvrig endnu værre. Kan gamle iphones iøvrigt opdateres, eller er det i lighed med de store Android producenter kun de enheder, der har et par år på bagen og iøvrigt skal havde hardware som kan fungere med nye opdateringer.

http://nyhederne.tv2.dk/nyheder/2015-05-28-apple-bekraefter-virus-sms-nu...

http://www.dailymail.co.uk/sciencetech/article-2823311/Apple-devices-mal...

http://www.ksdk.com/story/life/2015/04/21/apple-warns-of-app-virus/26143...

  • 13
  • 0
René Nielsen

Alt er sårbart også Apples produkter. Apple fremstår dog udadtil mere sikkerhedsmindet, men lad dig ikke narre til at tro at de ikke få malware.

For et par år siden skulle man have fysisk adgang til en Mac, Ipad eller Iphone for at kunne inficerer den med Malware – idag er det er ikke længere tilfældet fordi der opnås adgang til udstyret via sikkerhedshuller i andre produkter som f.eks. Flash!

Læs f.eks. denne par år gamle vejledning til NSA ansatte om hvordan de beskytter deres Mac af Rich Mogull - http://www.macworld.com/article/2048160/how-the-nsa-snoop-proofs-its-mac...

  • 2
  • 0
Anonym

Det er en god kommentar du kommer med Ivo. For hvorfor er det vi har en datafon? Er det for at læse mails alle steder, hvis det er, hvorfor ønsker vi at have endnu flere kontakt muligheder gennem sådan en telefon?

Jeg har selv en datafon, men overvejer da tit hvorfor, altså hvad giver det mig at have en datafon.

  • 3
  • 2
Mark Walker

Det er korrekt nok at Apple ikke er den skarpeste kniv i skuffen når det kommer til at lukke sikkerhedshuller. Men de plejer nu at få dem lukket. Deres styrke ser jeg mere i at de har en meget stor brugerbase af telefoner som er opdateret. I moddsætning til Android er iOS markedet ikke fragmenteret og lider ikke last af at mobil producenterne får lavet en opdatering til deres telefoner. Apple tilbyder sidst jeg så det opdateringer inklusiv sikkerheds opdateringer til mobiler der er op til 3-3.5 år gamle, det ser man sjældent på Android markedet. Har du ikke en ret ny Android telefon (1,5 år eller nyere) skipper leverandøren ofte udviklingen af OS til den og man er nød til at root'e den for at få noget der ligner et moderne OS på den. Jeg tror mormor eller gamle fætter Kurt sætter stor pris på at der er et firma som holder hans +2års gamle iPhone relativt opdateret uden at skulle være et teknisk geni.

My 2c

  • 2
  • 2
Mohammad Ali

Men jeg har nu haft iPhone siden 2007 og iMac længere. Nu også ipad og Watch så ja jeg er nok frelst. Men jeg har aldrig været ude for virus eller andre skadelige ting. Jeg betaler ikke ekstra for diverse programmer til at beskytte mig. Alt fungerer perfekt.

  • 1
  • 5
Jimmy Christiansen

Det var dog en underlig måde at opgøre det på. Jeg har brugt 0 kroner på min iPhone - vinder jeg så over dig?

Du har betalt ~2-3 gange mere for din telefon. Så nej du vinder ikke over ham, du er langt bagefter.
Se bare prisforskellen mellen en OnePlus 2 og nyeste iPhone.

  • 0
  • 0
Jimmy Christiansen

Apple tilbyder sidst jeg så det opdateringer inklusiv sikkerheds opdateringer til mobiler der er op til 3-3.5 år gamle, det ser man sjældent på Android markedet.

Det er jo stadig ikke nok, 5 år burde være minimum.

Med Android er det trods alt muligt i mange tilfælde at opdatere. Det kræver nogle evner at gøre det ( men vejledninger er til at finde ).
Den mulighed har man slet ikke ikke på Apple's produkter, da det er et helt lukket økosystem.

Bemærk at modsat Apple går Android mod at blive mere åbent: der er et projekt igang til at sammensmelte Android og Linux kernelen. Når det når i mål bliver det efter alt at dømme nemmere at holde ens telefon opdateret udenom telefonproducenten.

Visse Android telefoner kan også opgraderes til FirefoxOS.

  • 0
  • 1
Nikolaj Brinch Jørgensen

Apple tilbyder sidst jeg så det opdateringer inklusiv sikkerheds opdateringer til mobiler der er op til 3-3.5 år gamle, det ser man sjældent på Android markedet.


Den nyeste iOS 8 er supporteret på iPhone 4S, som udkom oktober 2011, så det er 4 år. Det er annonceret af iOS 9 også vil understøtte iPhone 4S, og iOS 9 ruller vel også 1 år, så det bliver 5 års support af et håndsæt. Det tror jeg selv ikke Nokia formåede med deres feature-phones.
Det betyder ligeledes at 4S, 5, 5S, 6, 6S alle vil triller på samme iOS version altså 5 generationer af telefoner på samme OS.
For iPads er det således at iPad 2 er understøttet af iOS 8 og vil også blive understøttet af iOS 9, hvilket betyder at 2, 3, 4, Air og Air 2, Air 3 vil være omfattet altså 6 generationer af iPads.
Så jeg tror det er sikkert at sige at Apple gøre mere end de fleste for at deres brugere er opdaterede.

Jeg ved ikke hvordan historierne er for Nokia Lumia og Windows, men der skulle så samtlige Nokia Lumia modeller kunne afvikle Windows 10 til sammenligning.

For Nexus, Galaxy, og de andre (Moto, Xperia osv.) er jeg ret sikker på det ikke forholder sig således.

Men Apple vil også have mange penge for deres telefoner, men til gengæld får man også et håndsæt der holder rigtigt længe, hvis man passer på det, og ikke bliver forældet (flere jeg kender er først nu her i 2015 skiftet fra iPhone 3GS). Desuden tager iPhone vel stadigt de bedste billeder (og jeg mener ikke kampen om MP).

Om der er flere eller færre sikkerhedshuller i iOS vs Windows Phone vs Android er vel sådan nogenlunde ligeligt fordelt, og ikke en væsentlig parameter når det kommer til indkøb.

Pris, anvendelighed, style, integration osv. er vigtigere. De fleste forbrugere opdatere alligevel ikke deres apparaters software, det er kun når vi teknikere kommer forbi og gør det for dem.

  • 0
  • 2
Jimmy Christiansen

Den nyeste iOS 8 er supporteret på iPhone 4S, som udkom oktober 2011, så det er 4 år. Det er annonceret af iOS 9 også vil understøtte iPhone 4S, og iOS 9 ruller vel også 1 år, så det bliver 5 års support af et håndsæt
...
...
Pris, anvendelighed, style, integration osv. er vigtigere. De fleste forbrugere opdatere alligevel ikke deres apparaters software, det er kun når vi teknikere kommer forbi og gør det for dem.


Det lyder godt med de 5 år. Men det er også langt nemmere for dem når de har fuld kontrol over både SW og HW.

Forbrugere burde opdatere deres soft- og hard- ware akkurat som på PC. Men indtil nu har markedet været for lukket uanset om vi snakker Apple eller Android.

Lad os håbe der kommer flere produkter som Fairphone. Hvor meget hardware kan skiftes uden værktøj og software mest muligt er open source:
http://ifixit.org/blog/7292/fairphone2/
https://www.fairphone.com/projects/creating-a-developer-friendly-softwar...
https://www.fairphone.com/phone/

  • 1
  • 0
Rune Jensen

Bemærk at modsat Apple går Android mod at blive mere åbent: der er et projekt igang til at sammensmelte Android og Linux kernelen.

Vil dette betyde atman snart kan afvikle Android APPs på sin desktop Linux distro?

Har du evt. link?

Visse Android telefoner kan også opgraderes til FirefoxOS.

Jo... Men hele Mozillas udvikling har længe stået på Googles nåde. Jeg kan ikke rigtigt forestille mig Google støtte Mozillas OS med penge. Og penge er nødvendige til udvikling og ikke mindst - markedsføring.

Jeg er stor Mozilla-fan. Men når Firefox konstant vedbliver med at være hamrende langsom, og når Chrome samtidig får smooth scroll (det er i nyeste version af Chrome), så svinder lysten til at bruge Firefox.

Firefox lever stadig på extentions. Men også der sker udvikling for Chrome... efterhånden som brugerbasen stiger.

Jeg mangler i Chrome en ordentlig java-script debugger, som Firefox har. Men også det kommer nok.

Jeg kan ikke se hvordan Mozilla kan vinde over Google uden en lige så stor tegnebog.

  • 0
  • 0
Jimmy Christiansen

Vil dette betyde atman snart kan afvikle Android APPs på sin desktop Linux distro?

Har du evt. link?


Det ser faktisk ud til at Android Mainlining er meget tæt på at være færdigt, i hvert tilfælde længere end jeg lige regnede med.
Prøv at se hvor meget der er kommet ind her: https://wiki.linaro.org/WorkingGroups/Kernel/AndroidUpstreaming

Tilbage til dit spørgsmål ja det kan man, der er en række metoder
https://www.maketecheasier.com/running-android-apps-on-linux/
http://news.softpedia.com/news/kde-devs-working-to-bring-android-apps-on...

Omvendt ser det ud til at det modsatte, køre Linux på Android hardware, også er muligt et par eksempler:
http://linuxonandroid.org/
http://www.pcadvisor.co.uk/how-to/linux/how-install-ubuntu-touch-image-3...

Så vi er ved at være derhenne hvor det er ikke kun hos Microsoft og Google man kan køre samme OS på alle sine enheder.

  • 1
  • 0
Log ind eller Opret konto for at kommentere