Sikkerhedshul i Linux rammer Android - mens kriminelle kigger andre steder

Illustration: leowolfert/Bigstock
På trods af, at alvorlige sikkerhedshuller i Linux også rammer Android, og at ældre Android-telefoner ikke får sikkerhedsopdateringer, er verdens mest udbredte mobile styresystem ikke den primære angrebsvinkel for kriminelle.

Når der bliver fundet et alvorligt sikkerhedshul i Linux-kernen eller andre dele af styresystemet, så bliver det nu også påpeget, at den samme sårbarhed også findes i Linux-varianter som Android og Chrome OS.

Det betyder, at man i princippet skal opdatere sin Android-telefon eller Chromebook, så snart en sikkerhedsopdatering er tilgængelig. Typisk skal en Android-telefon dog ikke være mere end to år gammel, før der ikke længere kommer regelmæssige opdateringer fra producenter som Samsung eller HTC.

Læs også: Alvorlig sårbarhed fra 2009 i Linux er nu rettet

Dermed ender mange telefoner med aldrig at få lukket sikkerhedshullerne, fordi de ikke får sikkerhedsopdateringer. Foreløbig er der dog ingen grund til panik, da de færreste er i fare for at blive angrebet gennem sårbarhederne.

»Min første bekymring, når jeg hører om et sikkerhedshul i Linux, vil være, om vores servere nu er sikre,« siger sikkerhedskonsulent Sean Sullivan fra sikkerhedsfirmaet F-Secure til Version2.

Han påpeger, at det også altid kræver en grundig granskning at bekræfte, at et sikkerhedshul i Linux-kernen også kan udnyttes på en vilkårlig Android-telefon.

Læs også: 4 ud af 5 malware-trusler mod smartphones rammer Android

Android er ellers ifølge flere sikkerhedsfirmaer den mobilplatform, der lige nu er mest plaget af malware. Men i modsætning til, hvad vi tidligere har set på eksempelvis Windows, så er sikkerhedshuller i styresystemet ikke den primære angrebsvinkel for bagmændene.

»Hovedparten af de angreb, der har et økonomisk motiv, benytter sig af social engineering. Decideret hacking af styresystemet er endnu forbeholdt angrebene mod udvalgte mål,« siger Sean Sullivan.

Social engineering er én af hjørnestenene i hacking og spredningen af malware, som hvor det handler om at udnytte menneskelige svagheder snarere end de tekniske. Det er det, der ligger til grund for phishing, og som på smartphones udnyttes i eksempelvis kopi-applikationer, hvor brugeren lokkes til at give applikationen adgang til alt.

»Det, vi ser i Danmark, er eksempelvis en bruger med en ekstremt høj mobilregning, hvor han har hentet apps fra forskellige kilder og ukritisk svaret ja, ja, ja til alle rettigheder,« siger sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS.

Sårbarheder i mobilstyresystemerne ses lige nu kun i målrettede angreb, som kan være mod politikere eller personer i virksomheder, som udsættes for industrispionage. Her er det væsentligt for bagmændene, at ofret ikke fatter mistanke.

»De målrettede angreb er mere farlige, men de er heldigvis ikke hverdagskost,« siger Peter Kruse.

Lige siden de første smartphones kom på markedet for mere end 10 år siden, har sikkerhedseksperter advaret om, at mobiltelefonerne ville blive det næste mål for hackerne. Hidtil har det dog ikke manifesteret sig i samme store omfang, som vi på et tidspunkt så på Windows-pc'er, indtil sikkerheden blev strammet op.

I stedet for at kaste sig over Android, hvor der altså også findes sikkerhedshuller, så holder malware-bagmændene sig stadig til Windows-platformen. Her er der stadig et stort antal pc'er med eksempelvis Windows XP, som ikke bliver opdateret og derfor er let bytte.

»Svindlerne er dovne, og gærdet sidder tilpas lavt til at angribe Windows. Men nu begynder vi at have et volumen af smartphones, og de har en kodebase af malware til Android,« siger Peter Kruse.

De fleste kriminelle, som spreder malware med økonomisk motiv, benytter sig af standardværktøjer, som kan købes på nettet og giver mulighed for med få klik at lave sine egne varianter af malware og udnytte forskellige sårbarheder.

Disse værktøjer er først nu begyndt at medtage muligheden for at lave malware til smartphones, og hvis det tager fart, så bliver det vigtigt at få styr på sikkerhedsopdateringerne til sin smartphone.

Det kritiske scenarie vil være en kombination af en sårbarhed i eksempelvis browseren på en telefon og en sårbarhed, der gør det muligt at eskalere rettighederne til at få adgang til kernen og modificere telefonen til at køre malware.

»Den type drive-by-installationer, vi har set til pc'er, er også noget, vi kommer til at se til smartphones,« siger Peter Kruse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Magnus Jørgensen

Det skal lige nævnes at de fleste mobil telefon producenter kan have deres egen branch af den linux kerne de har valgt til deres telefoner, og således kan bagud patche sådanne fejl og huller der måtte blive opdaget.

På den måde er de ikke tvunget til at opgradere hele platformen på ældre hardware. Jeg siger ikke at de nødvendigvis gør det, men de har muligheden. Så problemet er ikke nødvendigvis helt det samme som for f.eks. Win xp.

  • 5
  • 0
#2 Carsten Olsen

Det betyder, at man i princippet skal opdatere sin Android-telefon eller Chromebook, så snart en sikkerhedsopdatering er tilgængelig.

Man har tydeligvis ikke sat sig ind i fakta, inden artiklen skrives. På Chromebooks kommer opdateringerne typisk 24 timer efter at en alvorlig sårbarhed er fundet. Den træder automatisk i funktion ved reboot. (der kommer et "opdateret" symbol på bundlinien af skærmen, hvis man trykker på det rebooter chromebooken med det samme: <7 sek)

Android er ellers ifølge flere sikkerhedsfirmaer den mobilplatform, der lige nu er mest plaget af malware.

Her vogter ræven gæs og Jesper vælger at skrive om det. Det er ikke engang sandsynliggjort at det kan være fakta! (f.eks. kunne man give et eksembel på en sårbarhed hvor dette har været tilfældet)

  • 3
  • 4
#3 Thorben Hein Petersson

Det skal lige nævnes at de fleste mobil telefon producenter kan have deres egen branch af den linux kerne de har valgt til deres telefoner, og således kan bagud patche sådanne fejl og huller der måtte blive opdaget. På den måde er de ikke tvunget til at opgradere hele platformen på ældre hardware. Jeg siger ikke at de nødvendigvis gør det, men de har muligheden. Så problemet er ikke nødvendigvis helt det samme som for f.eks. Win xp.

Netop! Jeg havde ikke lige set den komme, at HTC valgte her sidste dag at sende en Heartbleach opdatering ud til min 2 år gamle One X.

  • 5
  • 0
#5 Mogens Lysemose

Når hver telefonproducent laver sin egen Android-variant og hurtigt stopper med opdateringer for at få folk til at købe nyt så er det et kæmpe problem. Og google sagsøger de gode opensource android projekter så de er besværlige at bruge! Hvor mange kan lige finde ud af at lække en Android på med diverse kabler og shellkommandoer osv som jeg gør på min galaxy s (1)?.

Og apps der får fuld tillid indtil der er bevis på de er skadelige! Al magt til google for dem har vi jo stadig fuld tillid til! Ikke?

  • 2
  • 0
#6 Deleted User

"Typisk skal en Android-telefon dog ikke være mere end to år gammel, før der ikke længere kommer regelmæssige opdateringer fra producenter som Samsung eller HTC."

Min sidste HTC telefon (HTC ONE S) blev opdateret 1 gang fra Android 4.0 til 4.1

Da den så var 1½ år gammel var der nogen der fik fingre i en, ikke released version af HTC's 4.2 (Som de endte med aldrig at release fordi visse varianter af telefonen kørte S3 processor der ikke var drivere til).

Jeg brugte de 2 timer det tog at roote, goldcard'e og opdatere telefonen så jeg havde 4.2 på.

Det eneste officielle der kom til den telefon OTA, var 1-½ år efter den kom på markedet og da var 4.3 ude og 4.4 lige på trapperne.

Så den der med at HTC opdaterer regelmæssigt i 2 år er sgu nok den største joke jeg længe har hørt.

Tommelfinger med opdatering af HTC er : Du skal ikke regne med en skid opdateringer når først du har købt telefonen.

  • 2
  • 0
#7 Thorben Hein Petersson

*kunderne jo også fundet af. Og samtidigt lave en brøler ved ikke at opdatere One S, skød de sig selv i foden. Tror hvis kunderne havde et indtryk af at telefoner blev opdateret ville HTC sikkert få et bedre ry og samtidigt tjene flere penge.

Som jeg skrev tidligere havde jeg ikke set det komme at HTC vælger at smide en opdatering ud til en 2 år gammel mobil, men som Magnus Jørgensen var inde på er at nogle af mobilproducenterne kan patche bagud uden at opdatere med den nyeste version af Android. Min næste mobil hedder dog heller ikke HTC. Det er slut med mandags mobiler fra dem.

  • 1
  • 0
#10 Magnus Jørgensen

XP er blevet vedligeholdt i 12-13 år, en Android telefon bliver typisk vedligeholdt 1-2 år. Så kan ikke helt forstå du mener situationen er bedre for Android?

Som du kan se af den reference til mit indlæg som du har indlejret i din egen kommentar, skrev jeg netop ikke at det var bedre. Bare anderledes.

En pointe som jeg måske ikke fik understreget helt er at der er forskel på Android version og kerne version. Android telefoner behøver ikke at opdatere Android version for at lappe huller i den kerne version der er brugt.

List mere specifikt er pointen, at selvom kerne versionen der måtte være brugt i en specifik Android model ikke længere supportes officielt, så kan den altså stadig patches, da koden jo er open source.

  • 1
  • 0
#11 Magnus Jørgensen

Der er en grund til at 70-80% af Android brugerne vil købe andet mærke næste gang (uanset om de bliver på Android eller ej).

Det kan muligvis være meget rigtigt at kun 9 af 10 android telefoner bliver opdateret, men jeg vil meget gerne se en reference, til den analyse du har om 70-80 af android brugere, der køber et andet mærke. Det er nemlig ikke det jeg har set, af de statistikker om market share, som jeg har set.

  • 1
  • 0
#12 Pilu Kasper Bech

Det er kun hi-end android der har support efter salg 9 ud af 10 eller flere Android telefoner får aldrig nogensinde en officielt opdatering. Ude af butikken ude af sind tænker fabrikanten. Det er som regel kun flagskibene der opdateres. Der er en grund til at 70-80% af Android brugerne vil købe andet mærke næste gang (uanset om de bliver på Android eller ej).

Mage til usaglig indlæg skal man lede længe efter på V2. 1. Har ikke set nogen markets undersøgelser der siger noget i den stil. 2. Hvis det var tilfældet burde Android ikke have en markeds andel på 70-85 pct. (Ja jeg ved godt æblet har en lidt større andel i vores lille konge rige men der er stadig Android på ca. 50-60 pct.)

Så vi skulle se Windows phone og iOS storme frem...? Eerh? Nu sider jeg ikke inde med tal for 2014. Men sidst jeg kigge var iOS på tilbage gang og Windows phone var meget svagt stigende.

Forbrugerne køber tilsynladene Android på trods af manglende opdateringer. Og er ret lige glade tror det er en ret sikker konklusion. Forbrugerne er ikke beviste om sikkerheds problemerne ved manglende opdateringer. Så din udtaler om at det skulle være årsag til at 70-80 pct skifter mobil af denne årsag...

  • 1
  • 0
Log ind eller Opret konto for at kommentere