Efter blotlægning af Stagefright 2.0: Nu tilbageholder Google sårbarhedsinfo fra den åbne Android-kode

Illustration:
Koderettelser til sårbarheder bliver ikke længere sendt direkte ud i open source-koden bag Android, oplyser Google

Google har tilsyneladende ændret praksis, efter virksomheden i august offentliggjorde en kritisk sårbarhed i Android via en patch til den åbne kildekode bag styresystemet. Det skete umiddelbart efter, sårbarheden kom til Googles kendskab.

Af Googles seneste to bulletiner i relation til sikkerhedsrettelser i Android og på Nexus-enheder fremgår det, at rettelserne først vil finde vej til Android Open Source Project (AOSP) - og dermed offentliggjorde - efter Google offentligt har meldt sårbarhederne ud. Det vil sige, at patches er sendt til partnere - det sker ca. en måned forinden - og opdateringer er på vej ud til nyere Nexus-enheder.

»Partnere blev gjort opmærksomme på og forsynet med opdateringer i forhold til disse problemer (issues, eng.) 2. november, 2015 eller tidligere. Patches til kildekoden i forhold til disse problemer vil blive frigivede til Android Open Source Project (AOSP)-repository i løbet af de næste 48 timer. Vi retter denne bulletin til med AOSP-links, når de er tilgængelige,« skriver Google i den netop frigivne Nexus Security Bulletin for december 2015, der iøvrigt adresserer fire kritiske sårbarheder i styresystemet.

Malware-analytiker Bogdan Botezatu fra rumænske Bitdefender mener, at Google har skiftet patch-politik i et forsøg på at minimere den tid, hvor sårbarhederne kan gøre skade.

»Når en AOSP bliver synlig for offentligheden, så kan koden inspiceres i forhold til rettelser. Og så kan en potentielt ondsindet part få indblik i den fiksede sårbarhed blot ved at se på koden,« oplyser han via mail.

I sikkerhedsbulletinen fra Google fra november optræder en formulering, som ligner det, som fremgår af den netop udgivne. Det bemærkelsesværdige er, at disse to seneste udmeldinger adskiller sig fra de øvrige månedlige sikkerhedsopdateringer, som Google har udsendt siden august.

I bulletinen for oktober hed det i forhold til AOSP-rettelserne:

»Patches til kildekoden i forhold til disse problemer er blevet frigivet til Android Open Source Project (AOSP) repository.«

Og en lignende formulering optræder i den foregående sikkerhedsbulletin fra september. Altså ikke noget om, at kildekoderettelserne er på vej i løbet af 48 timer. I stedet fremgår det, at rettelserne allerede er sendt til den åbne kildekode, hvor alle i princippet kan se dem.

Offentliggjorde kritisk sårbarhed i august

Oktober-bulletinen er altså den sidste bulletin, hvor Google oplyser, at rettelser allerede er sendt til AOSP i stedet for, at de vil blive det.

I oktober-bulletinen adresserer Google den kritiske sårbarhed CVE-2015-6602, der er blevet benævnt som en Stagefright 2.0-sårbarhed. Den oprindelige Stagefright-sårbarhed gjorde det i princippet muligt at kompromittere en Android-telefon via særligt udformet mms. I 2.0-udgaven udgør en særligt udformet mp3-fil en angrebsflanke mod styresystemet.

Som Version2 tidligere har fortalt, indberettede Joshua Drake fra it-sikkerhedsvirksomheden Zimperium CVE-2015-6602 til Google i midten af august. Det fik han 4.000 dollars for i forbindelse med Googles dusør-program til Android-sårbarheder. Google sendte stort set omgående en patch til den åbne kildekode bag Android, så alle i princippet kunne se, hvori sårbarheden bestod.

Læs også: Open source-patch blotlagde kritisk sårbarhed i Android

Altså længe inden, producenter og Google selv var på vej med Android-opdateringer til diverse enheder. Det beklagede Joshua Drake sig over, fremgår det af debattråden, hvor han anmelder sårbarheden. Og Google undskyldte derefter at sårbarheden blev synliggjort i Android-kildekoden.

Men at dømme efter de seneste to sikkerhedsbulletiner har Google altså nu ændret praksis, så kritiske sårbarheder ikke kan læses i kildekoden, før rettelserne er på plads. Hvorvidt det er den specifikke Stagefright 2.0-sårbarhed, der har foranlediget dette, er uvist.

Det er i udgangspunktet godt for Android-brugerne, at AOSP-rettelserne ikke bliver synlige alt for tidligt. Det er dog kun de brugere, der faktisk modtager regelmæssige opdateringre til deres enheder, der får noget ud af dette, påpeger Bogdan Botezatu, Bitdefender.

»Det ændrer eksempelvis ikke noget i forhold til enheder, der ikke bliver aktivt vedligeholdt,« siger han.

Version2 har ikke brugt tid på at spørge Google om, hvad der er årsagen til det tilsyneladende skifte i patch-politikken, da vores øvrige henvendelser til virksomheden i relation til Android og sikkerhed foreløbigt er gået ubesvarede hen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

Et par århundrede...

"»Det ændrer eksempelvis ikke noget i forhold til enheder, der ikke bliver aktivt vedligeholdt,« siger han.

Minimerer angrebstid

Version2 har ikke brugt tid på at spørge Google om, hvad der er årsagen til det tilsyneladende skifte i patch-politikken, da vores øvrige henvendelser til virksomheden i relation til Android og sikkerhed foreløbigt er gået ubesvarede hen."

Sjusket og dovent.

Det ville være klædeligt hvis der var nogen der turde pointere det åbentlyse dvs. At hvis Google havde faktisk ryddet op i den mangelfulde strategi de har lagt for dagen ved at lade OEMerne og teleselskaberne distribuere software opdateringerne ville den problemstilling de havner i her ha været meget mindre...

Og ikke at følge op på

"»Det ændrer eksempelvis ikke noget i forhold til enheder, der ikke bliver aktivt vedligeholdt,« siger han."

Er dovent... Hvor stor del af androidenheder bliver "ikke aktivt vedligeholdt" og hvor stor sikkerhedsrisiko udsætter Google de Android brugere for ved at give dem med de mørkesorte hatte all hemlighederne ved deres opensource access strategi... Fino fino at entusiaster kan roote deres dimser og installere cyanogen images... Hvis størstedelen af Android brugere ikke gør det er det ikke et argument for at det er acceptabelt at Google aktivt gør sikkerhedssituationen værre for de Android brugere der har købt telefoner der bare ikke længere bliver "aktivt vedligeholdt"...

Mange er forarget hvis deres 4 år gamle iPhone er lidt småsløv når den skal køre det nyeste iOS... Men der er ingen der er det mindste utilfreds med at Google aktivt hjælper blackhats med at hacke "gamle" telefoner fordi "open always Wins" mantraet invokeres... Det bare er de dumme "normals" der ikke vil installere cyanogen images hver måned / uge der bliver ramt af den monstrøst dårligt gennemtænkte sikkerhedsmodel som Google har valgt... Og meget lidt har gjort for faktisk at ændre...

  • 0
  • 4
Log ind eller Opret konto for at kommentere