Farligt sikkerhedshul i Android er kun rettet i version 4.4 Kitkat

Illustration: Android Logo
En sårbarhed i Android 4-versionerne gør det muligt for en hacker at slå alle sikkerhedsfunktioner fra. Men Google har kun rettet fejlen i den nyeste udgave 4.4, som meget få lige nu bruger.

Pas på, hvad du installerer af Android-apps. Sådan lyder advarslen igen fra sikkerhedsekspert Graham Cluley, efter et alvorligt sikkerhedshul er blevet afsløret og offentliggjort.

Hullet gør det muligt for en hacker at slå adgangslåsene fra på en telefon, så det ikke længere er nødvendigt at bruge kode eller mønster for at låse telefonen op.

Sikkerhedsfirmaet Curesec opdagede hullet tilbage i oktober og gav Google besked. Nu bliver detaljerne om hullet lagt frem på firmaets blog, fordi Google har rettet fejlen. Her kan downloade en proof-of-concept-app og hente kildekode til den.

Men det er kun i den nyeste Android-version, 4.4 Kitkat, at problemet er fjernet. Alle andre udgaver af Android 4 er stadig sårbare, advarer Graham Cluley, og fordi Kitkat er ganske ny, og mange telefoner ikke bliver opdateret, vil en meget stor del af Android-brugerne være i farezonen.

Google har ikke meldt ud, om der er sikkerhedsopdateringer på vej til de øvrige Android-versioner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (19)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ove Andersen

Google har ikke meldt ud, om der er sikkerhedsopdateringer på vej til de øvrige Android-versioner.

Det vil jo aldrig ske, da det er op til de enkelte producenter at lave sikkerhedsopdatering - og det gider de ikke.

Ville være smart, hvis Google havde modet til at gøre, så kernesystemet var håndteret centralt (Windows Update like?) og tvinge producenterne til at deres crap-ware der kommer ovenpå skulle være ekstra apps. Så kunne de jo tillade, at producenterne kunne gøre, så de ikke umiddelbart kunne afinstalleres.

Men sådan bliver det vist aldrig med Android, producenterne har for meget magt.

Men selvom dette er et meget uheldigt hul, så giver jeg Jesper ret - hvis jeg vil ind på en vens smartphone, skal jeg først overtale ham til at installere et skummelt program, og dernæst skal jeg have fysisk adgang til den? Der findes værre sikkerhedshuller..

Og hvad mener du, Peter Larsen? Skulle folk stå op og forsvare Google? Nej vel, det er jo bare en telefon - ikke en iPhone vi snakker om :P

  • 16
  • 0
Rasmus Rask

En larmende stilhed fra Android folket...

Jeez, lad mig gætte, iPhone-bruger?

"Oh no! Somebody think of the children!" - bedre nu?

Tror ikke der er nogen fra "Android folket" som forsvarer de problemer Ove påpeger, at selv om Google laver en fix til gamle versioner, så får størstedelen af brugerne den ikke at se.

Det kan der dårligt være to meninger om - det er ikke godt nok.

Glimrende enkelt idé Ole, at lade selve Android OS'et blive patchet direkte fra Google. Det er nok utopisk at tro at vi kan få opgraderinger til Android på samme måde, da der simpelthen er for stor risiko for at det ikke spiller sammen med producentens lag. Desværre.

  • 11
  • 1
Jakob Damkjær

Installeret ?

Hvis man sætter det i kontrast med 74% af iPhones der er på iOS 7... Og således ikke udsat for de sikkerhedsudfordringer som tidligere iOS dimser havde

Så det fantastisk sikkerheds orienterede Google er ok med at 98% af android telefoner har et alvorligt sikkerhedshul...

De har vist sig ude af stand til at priotere det nok til at det bliver fikset.

Og "the nerd option" dvs rooting og opgradering osv. Med deraf følgende garanti invalidering er det så få procent der gør at det ikke har en effekt på android økosystemets samlede sikkerhed situation...

Så at ingen realt kritisere Google for fuldstændigt at ignorere Alt andet end de nyeste modeller og overlader sikkerhedsopdateringer til OEMerne (nogen der tydeligvist ikke er den opgave moden) er noget Google burde modtage kritik for fra deres egen lejr...

Som Piet Hein sagde i et gruk "blot fordi du lader dit ansvar ligge er det stadig dit" (let parafrase)...

Og Google har haft nok tid til at fikse opdaterings situationen men har valgt ikke at gøre det... Debate.

  • 0
  • 12
Adam Tulinius

Og Google har haft nok tid til at fikse opdaterings situationen men har valgt ikke at gøre det... Debate.

Google og Androids problem er følgende: De tillader OEMs at modificere Android. Google kan selvsagt ikke sørge for at få opdateret HTCs telefoner, fordi HTC ikke bruger stock Android. Samme gælder for stort set alle andre Android telefoner.

Husk at forholdet mellem Google og hardwareleverandørerne er anderledes end forholdet mellem Apples software- og hardware-afdeling.

Google leverer et styresystem til en række producenter. Google vælger at sige at opdateringer er noget man får hvis man følger det nyeste release. Det er så op til HTC, Samsumg, .., at udnytte dette. Apple, til gengæld, sælger et samlet produkt. Microsoft har valgt en mere fornuftig strategi end Google, og sagt at modificeringer er et no-go (med undtagelse af Nokia, men nu ejer MS Nokia, så det ender nok med at det kun er Nokia der laver Windows Phones alligevel, hvilket putter Microsoft i samme båd som Apple).

Google kan selvsagt ikke blive ved med at lave opdateringer til alle Andriod-releases de nogensinde har lavet.

Når det så alt sammen er sagt, så synes jeg helt klart Googles model er elendig den dag i dag, netop fordi ingen i praksis får sikkerhedsopdateringer. Dog tvivler jeg på at Android havde haft samme success, såfremt Google havde valgt at sige nej til at OEMs kunne brande telefoner selv og stadigvæk kalde dem for Android-telefoner.

(Desuden sælger man nok flere telefoner, hvis man kan sige at de kører nyere software, end det der kan fåes til deres gamle. :-( )

Mvh.

  • 6
  • 0
Nikolaj Brinch Jørgensen

Total ligegyldigt hul, jeg går ikke ud fra at nogen alligevel forventede at data de har på en telefon, som andre har fået fysisk adgang til er ret meget beskyttet .. I øvrigt 99% ramte jævnfør Google http://developer.android.com/about/dashboards/index.html sikkerhedsfejl er dog før set rullet ud rimelig hurtigt.

Det var da sært. De fleste virksomheder beskytter da netop deres udstyr for fysisk adgang. Der sælges masser af harddiskkryptering både som software og hardware. Jeg går da ud fra at de fleste virksomheder vil beskytte deres data på mobile med antenner som de vil på deres mobile computere? Så at regne dette for intet problem, er vel ikke lige helt logisk. Alt andet lige bliver der vist nok stjålet lidt flere telefoner og tablets end der bliver stjålet computere?

  • 0
  • 1
Thomas Andersen

Ikke smart! Den eneste beskytelse man som alm forbruger kan bruge, kan slåes fra uden man er opmærksom på det.. Undre mig hvordan de kære debattører ovenfor benægter at dette skulle være et problem..

  • 0
  • 6
Jacob Nordfalk
  • 7
  • 1
Johnnie Hougaard Nielsen

Umiddelbart er jeg ikke så bekymret, fordi et angreb (der ikke giver mulighed for "at slå alle sikkerhedsfunktioner fra", men "kun" låseskærmen) kræver både et stykke malware, samt som andre har nævnt fysisk adgang til telefonen. Det er selvfølgelig ikke godt, men dog ikke i høj-risiko gruppen.

Det må også forventes at tilstrækkeligt med ramte brugere opdager det hvis deres låseskærm mangler, til at eventuelle apps med skjult malware ikke får lov til at have et langt liv før de bliver deaktiveret.

Så det er såmænd ikke så farligt endda, men derfor skal det da rettes. Jeg vil gætte på at Google i det stille kunne finde på at lade deres automatiske screening af apps omfatte detektering af dette sikkerheds problem. Det er jo noget der kraftigt øger afstanden mellem et fungerende "proof of concept", og et angreb af betydning i marken. Og det lille mindretal der bruger andre app stores end Google Play, er nok (måske ud over markeder som Kina) mere sikkerhedsbevidste end gennemsnittet.

  • 1
  • 0
Kim Schulz

Hvis virksomheden der tilbyder telefonen til deres medarbejder er seriøs omkring sikkerhed, så har de sørget for at Device manager er slået til. Så kan de nemlig sætte som krav at der er pinkode (eller password) og så vil dette angreb ikke virke (device manager vil enforce kodeord igen så snart at man forsøger at fjerne det. Det er bl.a. sådan at Exchange server "beskytter" emails på android telefoner der forbinder til exchange serveren i virksomheden.

  • 1
  • 0
Log ind eller Opret konto for at kommentere