Efter blotlægning af Stagefright 2.0: Nu tilbageholder Google sårbarhedsinfo fra den åbne Android-kode
Google har tilsyneladende ændret praksis, efter virksomheden i august offentliggjorde en kritisk sårbarhed i Android via en patch til den åbne kildekode bag styresystemet. Det skete umiddelbart efter, sårbarheden kom til Googles kendskab.
Af Googles seneste to bulletiner i relation til sikkerhedsrettelser i Android og på Nexus-enheder fremgår det, at rettelserne først vil finde vej til Android Open Source Project (AOSP) - og dermed offentliggjorde - efter Google offentligt har meldt sårbarhederne ud. Det vil sige, at patches er sendt til partnere - det sker ca. en måned forinden - og opdateringer er på vej ud til nyere Nexus-enheder.
»Partnere blev gjort opmærksomme på og forsynet med opdateringer i forhold til disse problemer (issues, eng.) 2. november, 2015 eller tidligere. Patches til kildekoden i forhold til disse problemer vil blive frigivede til Android Open Source Project (AOSP)-repository i løbet af de næste 48 timer. Vi retter denne bulletin til med AOSP-links, når de er tilgængelige,« skriver Google i den netop frigivne Nexus Security Bulletin for december 2015, der iøvrigt adresserer fire kritiske sårbarheder i styresystemet.
Malware-analytiker Bogdan Botezatu fra rumænske Bitdefender mener, at Google har skiftet patch-politik i et forsøg på at minimere den tid, hvor sårbarhederne kan gøre skade.
»Når en AOSP bliver synlig for offentligheden, så kan koden inspiceres i forhold til rettelser. Og så kan en potentielt ondsindet part få indblik i den fiksede sårbarhed blot ved at se på koden,« oplyser han via mail.
I sikkerhedsbulletinen fra Google fra november optræder en formulering, som ligner det, som fremgår af den netop udgivne. Det bemærkelsesværdige er, at disse to seneste udmeldinger adskiller sig fra de øvrige månedlige sikkerhedsopdateringer, som Google har udsendt siden august.
I bulletinen for oktober hed det i forhold til AOSP-rettelserne:
»Patches til kildekoden i forhold til disse problemer er blevet frigivet til Android Open Source Project (AOSP) repository.«
Og en lignende formulering optræder i den foregående sikkerhedsbulletin fra september. Altså ikke noget om, at kildekoderettelserne er på vej i løbet af 48 timer. I stedet fremgår det, at rettelserne allerede er sendt til den åbne kildekode, hvor alle i princippet kan se dem.
Offentliggjorde kritisk sårbarhed i august
Oktober-bulletinen er altså den sidste bulletin, hvor Google oplyser, at rettelser allerede er sendt til AOSP i stedet for, at de vil blive det.
I oktober-bulletinen adresserer Google den kritiske sårbarhed CVE-2015-6602, der er blevet benævnt som en Stagefright 2.0-sårbarhed. Den oprindelige Stagefright-sårbarhed gjorde det i princippet muligt at kompromittere en Android-telefon via særligt udformet mms. I 2.0-udgaven udgør en særligt udformet mp3-fil en angrebsflanke mod styresystemet.
Som Version2 tidligere har fortalt, indberettede Joshua Drake fra it-sikkerhedsvirksomheden Zimperium CVE-2015-6602 til Google i midten af august. Det fik han 4.000 dollars for i forbindelse med Googles dusør-program til Android-sårbarheder. Google sendte stort set omgående en patch til den åbne kildekode bag Android, så alle i princippet kunne se, hvori sårbarheden bestod.
Altså længe inden, producenter og Google selv var på vej med Android-opdateringer til diverse enheder. Det beklagede Joshua Drake sig over, fremgår det af debattråden, hvor han anmelder sårbarheden. Og Google undskyldte derefter at sårbarheden blev synliggjort i Android-kildekoden.
Men at dømme efter de seneste to sikkerhedsbulletiner har Google altså nu ændret praksis, så kritiske sårbarheder ikke kan læses i kildekoden, før rettelserne er på plads. Hvorvidt det er den specifikke Stagefright 2.0-sårbarhed, der har foranlediget dette, er uvist.
Det er i udgangspunktet godt for Android-brugerne, at AOSP-rettelserne ikke bliver synlige alt for tidligt. Det er dog kun de brugere, der faktisk modtager regelmæssige opdateringre til deres enheder, der får noget ud af dette, påpeger Bogdan Botezatu, Bitdefender.
»Det ændrer eksempelvis ikke noget i forhold til enheder, der ikke bliver aktivt vedligeholdt,« siger han.
Version2 har ikke brugt tid på at spørge Google om, hvad der er årsagen til det tilsyneladende skifte i patch-politikken, da vores øvrige henvendelser til virksomheden i relation til Android og sikkerhed foreløbigt er gået ubesvarede hen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
