Froyo, Gingerbread, Ice Cream Sandwich, Jelly Bean, KitKat og Lollypop. Selvom det måske lyder lækkert, er de mange forskellige udgaver af Android på markedet it-sikkerhedsmæssigt knapt så spiseligt, vurderer eksperter.
Flere af de mere udbredte Android-versioner har nemlig flere år på bagen, og kan derfor indeholde sikkerhedshuller, der er blevet lukket i senere udgaver af styresystemet.
Modsat eksempelvis iOS, hvor Apple styrer både hardware og software, bliver Android typisk opdateret ved, at de forskellige telefonproducenter (evt. i samarbejde med teleudbyderne), frigiver tilpassede udgaver af styresystemet til netop deres enheder. Så der kommer ikke per automatisk opdateringer til alle enheder, når Google frigiver en ny udgave af Android. Og måske dropper producenten helt at vedligeholde telefonen med opdateringer, når enheden har været på markedet i en relativ kort periode. Uanset om den pågældende Android-version måtte indeholde sikkerhedshuller eller ej.
Det er en af pointerne i en kommentar med titlen ‘Google Can't Ignore The Android Update Problem Any Longer’ på tomshardware.com, som Lucian Armasu har skrevet.
Tal over udbredelsen af forskellige Android-udgaver fra Google, viser at det næsten tre år gamle Android Jelly Bean i version 4.2.x har 18,1 pct. af markedet, mens Android Lollipop 5.1 har 0,7 pct. Tallene er hentet fra de enheder, der kører Google Play Store-appen, i en periode på syv dage op til 4. maj 2015.
Netop Android Jelly Bean (og tidligere versioner af styresystemet) er tidligere på året omtalt i sikkerhedsmæssig sammenhæng, da det indeholder en komponent, WebView, som kan være problematisk. Og som Google ifølge androidpolice.com har afvist fortsat at vedligeholde.
Til sammenligning viser tal fra Apple for 27. april 2015, at 81 pct. af de enheder App Store har registreret kører den seneste iOS 8, mens 17 pct. kører iOS 7 og 2 pct. kører en tidligere udgave af iOS. Som bekendt har Apple, modsat Google, fuldstændig kontrol over hardware-platformen også i og med, det er Apple, der er leverandør af iOS-enhederne.
Fordele og ulemper ved Androids åbenhed
Solutions architech og partner i app-virksomheden iDeal Development Esben Bjerregaard har set på den kritik, der bliver rejst i artiklen på tomshardware.com og han mener, at der afgjort er noget om snakken i forhold til sikkerhedsudfodringen med ældre Android-versioner. Og noget af det hænger sammen med åbenheden i Android.
»Helt generelt er der en række fordele og ulemper ved open source OS (ligesom der er fordele og ulemper ved closed source). Blandt fordele kan man tælle fri adgang for alle til at finde og rette fejl og mangler - eller bygge en custom version af f.eks Android som cyanogenmod (en alternativ Android-udgave, red.),« skriver Esben Bjerregaard i en mail og fortsætter:
»Blandt ulemper er der den kaotisk situation, Google befinder sig i nu: Google kan, per definition af open source, ikke blande sig i hvordan producenter af telefoner bygger Android ind i dem.«
Og det sidste er problematisk, påpeger Esben Bjerregaard. Dels kan producenterne lave fejl i deres tilpasning af Android-platformen, og dels kan Google have vanskeligt ved at tvinge producenterne til at udrulle opdateringer med sikkerhedsrettelser.
Sådan kan det udnyttes
Desuden betyder den åbne kildekode også, at eventuelle hackere har mulighed for at finde og udnytte svagheder i de aldrende Android-udgaver, som stadig florerer i stor stil på markedet.
Hvis Esben Bjerregaard ville hacke, ville han på den baggrund gribe det således an:
»Jeg ville starte med at kigge på f.eks Jelly Bean 4.2. Den har ca 20% af brugerne, og er samtidig en halvgammel Android-version. Så ville jeg kigge i koden for Jelly Bean og sammenligne med senere versioner. Herved ville jeg sikkert kunne finde nogle sikkerhedsfejl, der er rettet i senere versioner, men findes for Jelly Bean,« skriver han og fortsætter:
»Herefter ville jeg kunne lave en app der udnytter fejlen - som så ville virke for 20% af brugerne. Det er meget lettere at finde fejl, når man kan kigge med i softwaren.«
Og der findes ikke nogen nem løsning på udfordringen med fragmenteringen på Android-markedet, vurderer Esben Bjerregaard. Han peger på, at det er vanskeligt at patche enkelte sikkerhedshuller i Android ved at rulle hotfixes ud fra centralt hold, da der er for stor forskel på de producent-tilpassede udgaver af styresystemet, der derfor ikke bare kan opdateres over en kam.
Analytiker: Erhvervslivet er incitament for Google
En strategi kunne måske være, fortæller Esben Bjerregaard, at splitte Android op i en core-del og en del, som det står producenten frit for at tilpasse. Så ville det eventuelt være muligt at udrulle eksempelvis akutte sikkerhedsopdateringer løbende til alle enheder, vurderer han.
»Det er simpelthen umuligt for at Google at hotfixe noget som helst, fordi Android OS-koden er fedtet sammen med alt muligt kode skrevet af telefonproducenterne. Det var derfor en mulighed at splitte Android op i et Core og et Custom-område, der kunne fungere uafhængigt af hinanden, men med et veldefineret interface imellem. På den måde kunne telefonproducenterne lave ændringer til f.eks UI (brugergrænsefladen, red.) uden at ofre noget af den grundlæggende sikkerhed (core området),« skriver han.
Research manager fra analysevirksomheden IDC Anders Elbak er enig i, at Google har en sikkerhedsudfordring i forhold til det fragmenterede Android-marked. Men han øjner dog også at højere sikkerhedskrav fra erhvervsmarkedet kan få Google til at finde en løsning.
»Der er ingen tvivl om, at der er en udfordring med Android. Og jeg tror, Google kommer til at gøre noget ved det, fordi de gerne vil stå stærkere på erhvervsmarkedet,« siger Anders Elbak og fortsætter:
»Google har selvfølgeligt en interesse i, at Android også er sikkert for private, men groft sagt, så er der ikke rigtigt nogen penge i den del.«
Ligesom Esben Bjerregaard ser Anders Elbak det som en mulighed, at Google nærmer sig en model, hvor virksomheden står for at frigive Android-kerner til alle enheder, mens de enkelte producenter koncentrerer sig om at vedligeholde en tilpasset del af styresystemet.
En anden mulighed, som ikke nødvendigvis udelukker den første, kunne ifølge Elbak være, at Google, som det er kendt fra Windows til pc, gør brugeren opmærksom på, hvis der mangler firewall, antivirus eller lignende i styresystemet. Tredjepartssoftware som så kan installeres af brugeren efterfølgende.
»Der er endnu ikke de helt store problemer med sikkerheden på mobilplatformen sammenlignet med desktop-platformen. Men det kommer sikkert til at blive værre,« siger Anders Elbak.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
