Forladt kode truer Android-sikkerhed

Illustration: Android Logo
Forskellige udgaver af Android - også de gamle - er spredt på alverdens smartphones. Og det er et sikkerhedsproblem, Google bør se på, vurderer en tekniker og en analytiker.

Froyo, Gingerbread, Ice Cream Sandwich, Jelly Bean, KitKat og Lollypop. Selvom det måske lyder lækkert, er de mange forskellige udgaver af Android på markedet it-sikkerhedsmæssigt knapt så spiseligt, vurderer eksperter.

Flere af de mere udbredte Android-versioner har nemlig flere år på bagen, og kan derfor indeholde sikkerhedshuller, der er blevet lukket i senere udgaver af styresystemet.

Modsat eksempelvis iOS, hvor Apple styrer både hardware og software, bliver Android typisk opdateret ved, at de forskellige telefonproducenter (evt. i samarbejde med teleudbyderne), frigiver tilpassede udgaver af styresystemet til netop deres enheder. Så der kommer ikke per automatisk opdateringer til alle enheder, når Google frigiver en ny udgave af Android. Og måske dropper producenten helt at vedligeholde telefonen med opdateringer, når enheden har været på markedet i en relativ kort periode. Uanset om den pågældende Android-version måtte indeholde sikkerhedshuller eller ej.

Det er en af pointerne i en kommentar med titlen ‘Google Can't Ignore The Android Update Problem Any Longer’ på tomshardware.com, som Lucian Armasu har skrevet.

Tal over udbredelsen af forskellige Android-udgaver fra Google, viser at det næsten tre år gamle Android Jelly Bean i version 4.2.x har 18,1 pct. af markedet, mens Android Lollipop 5.1 har 0,7 pct. Tallene er hentet fra de enheder, der kører Google Play Store-appen, i en periode på syv dage op til 4. maj 2015.

Netop Android Jelly Bean (og tidligere versioner af styresystemet) er tidligere på året omtalt i sikkerhedsmæssig sammenhæng, da det indeholder en komponent, WebView, som kan være problematisk. Og som Google ifølge androidpolice.com har afvist fortsat at vedligeholde.

Til sammenligning viser tal fra Apple for 27. april 2015, at 81 pct. af de enheder App Store har registreret kører den seneste iOS 8, mens 17 pct. kører iOS 7 og 2 pct. kører en tidligere udgave af iOS. Som bekendt har Apple, modsat Google, fuldstændig kontrol over hardware-platformen også i og med, det er Apple, der er leverandør af iOS-enhederne.

Fordele og ulemper ved Androids åbenhed

Solutions architech og partner i app-virksomheden iDeal Development Esben Bjerregaard har set på den kritik, der bliver rejst i artiklen på tomshardware.com og han mener, at der afgjort er noget om snakken i forhold til sikkerhedsudfodringen med ældre Android-versioner. Og noget af det hænger sammen med åbenheden i Android.

»Helt generelt er der en række fordele og ulemper ved open source OS (ligesom der er fordele og ulemper ved closed source). Blandt fordele kan man tælle fri adgang for alle til at finde og rette fejl og mangler - eller bygge en custom version af f.eks Android som cyanogenmod (en alternativ Android-udgave, red.),« skriver Esben Bjerregaard i en mail og fortsætter:

»Blandt ulemper er der den kaotisk situation, Google befinder sig i nu: Google kan, per definition af open source, ikke blande sig i hvordan producenter af telefoner bygger Android ind i dem.«

Og det sidste er problematisk, påpeger Esben Bjerregaard. Dels kan producenterne lave fejl i deres tilpasning af Android-platformen, og dels kan Google have vanskeligt ved at tvinge producenterne til at udrulle opdateringer med sikkerhedsrettelser.

Sådan kan det udnyttes

Desuden betyder den åbne kildekode også, at eventuelle hackere har mulighed for at finde og udnytte svagheder i de aldrende Android-udgaver, som stadig florerer i stor stil på markedet.

Hvis Esben Bjerregaard ville hacke, ville han på den baggrund gribe det således an:

»Jeg ville starte med at kigge på f.eks Jelly Bean 4.2. Den har ca 20% af brugerne, og er samtidig en halvgammel Android-version. Så ville jeg kigge i koden for Jelly Bean og sammenligne med senere versioner. Herved ville jeg sikkert kunne finde nogle sikkerhedsfejl, der er rettet i senere versioner, men findes for Jelly Bean,« skriver han og fortsætter:

»Herefter ville jeg kunne lave en app der udnytter fejlen - som så ville virke for 20% af brugerne. Det er meget lettere at finde fejl, når man kan kigge med i softwaren.«

Og der findes ikke nogen nem løsning på udfordringen med fragmenteringen på Android-markedet, vurderer Esben Bjerregaard. Han peger på, at det er vanskeligt at patche enkelte sikkerhedshuller i Android ved at rulle hotfixes ud fra centralt hold, da der er for stor forskel på de producent-tilpassede udgaver af styresystemet, der derfor ikke bare kan opdateres over en kam.

Analytiker: Erhvervslivet er incitament for Google

En strategi kunne måske være, fortæller Esben Bjerregaard, at splitte Android op i en core-del og en del, som det står producenten frit for at tilpasse. Så ville det eventuelt være muligt at udrulle eksempelvis akutte sikkerhedsopdateringer løbende til alle enheder, vurderer han.

»Det er simpelthen umuligt for at Google at hotfixe noget som helst, fordi Android OS-koden er fedtet sammen med alt muligt kode skrevet af telefonproducenterne. Det var derfor en mulighed at splitte Android op i et Core og et Custom-område, der kunne fungere uafhængigt af hinanden, men med et veldefineret interface imellem. På den måde kunne telefonproducenterne lave ændringer til f.eks UI (brugergrænsefladen, red.) uden at ofre noget af den grundlæggende sikkerhed (core området),« skriver han.

Research manager fra analysevirksomheden IDC Anders Elbak er enig i, at Google har en sikkerhedsudfordring i forhold til det fragmenterede Android-marked. Men han øjner dog også at højere sikkerhedskrav fra erhvervsmarkedet kan få Google til at finde en løsning.
»Der er ingen tvivl om, at der er en udfordring med Android. Og jeg tror, Google kommer til at gøre noget ved det, fordi de gerne vil stå stærkere på erhvervsmarkedet,« siger Anders Elbak og fortsætter:

»Google har selvfølgeligt en interesse i, at Android også er sikkert for private, men groft sagt, så er der ikke rigtigt nogen penge i den del.«

Ligesom Esben Bjerregaard ser Anders Elbak det som en mulighed, at Google nærmer sig en model, hvor virksomheden står for at frigive Android-kerner til alle enheder, mens de enkelte producenter koncentrerer sig om at vedligeholde en tilpasset del af styresystemet.

En anden mulighed, som ikke nødvendigvis udelukker den første, kunne ifølge Elbak være, at Google, som det er kendt fra Windows til pc, gør brugeren opmærksom på, hvis der mangler firewall, antivirus eller lignende i styresystemet. Tredjepartssoftware som så kan installeres af brugeren efterfølgende.

»Der er endnu ikke de helt store problemer med sikkerheden på mobilplatformen sammenlignet med desktop-platformen. Men det kommer sikkert til at blive værre,« siger Anders Elbak.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Milos Game

Som det er i dag, kan diverse organisationer i Danmark skride ind over for et produkt, der har fejl og mangler. F.eks., hvis der er fare for at man kommer galt af sted ved brug af en lift/elevator, kan der komme påbud, forbud, bøder eller lignende.

Det samme bør gælde for software, hvor man kan komme galt af sted, hvis hackere udnytter sårbarheder i software til at lænse din bankkonto og andre konti.
Egentligt burde det være nemmere at opdatere softwaren, end at skulle fjerne et fysisk produkt fra hylden, fikse problemet og lægge produktet på hylden igen.

Det handler om ansvarlighed og som det er er i dag, så slipper producenter alt for nemt, når det kommer til stå til ansvar for deres produkter. Så vidt jeg ved, skriver producenter af Android smartdevices under på 18 måneders opdateringer, men ikke engang 1½ år formår de at holde de nyeste flagskib up-to-date.

Det her område, lapning af sikkerhedshuller, bør der være en form for lovgivning for. Straffen bør være høj, da den potentielt kan ramme mange mennesker, især taget i betragtning af Android står for ca. 80% af alle smartdevices på verdensplan.

Lovgivning er naturligvis ikke kun begrænset til Android enheder, heller ikke engang smartdevices, men alle gængse og udbredte systemer, som f.eks. Windows, MacOS og Linux distributioner.

Med andre ord: Bliver det solgt, så skal det fixes.
Men så er der lige free-stuff kategorien, dvs. systemer der ikke sælges, men gives væk.. Hvem har ansvaret her? (leverandøren ville være et bud)

  • 2
  • 1
Milos Game

En anden mulighed, som ikke nødvendigvis udelukker den første, kunne ifølge Elbak være, at Google, som det er kendt fra Windows til pc, gør brugeren opmærksom på, hvis der mangler firewall, antivirus eller lignende i styresystemet. Tredjepartssoftware som så kan installeres af brugeren efterfølgende.

For at sikkerhedssoftware skal kunne have en reel virkning, kræves det at softwaren er installeret på administrator-niveau, dvs. ROOT. Normale bruger har desværre ikke ROOT adgang, hvilket betyder at dette ikke er en mulighed.
Du kan sagtens installere en firewall, men den vil ikke have beføjelserne til at kunne blokere trafik (da dette kræver ROOT), hvilket gør den ubrugelig.

Antivirus kan man nok godt installere og benytte, men jeg tror dog ikke at Antivirus app'en vil have adgang og beføjelser til systemet. Det betyder at hvis en app udnytter en sikkerhedsfejl i operativsystemet og får root, så kan Antivirus app'en ikke gøre noget ved det.

  • 0
  • 0
Mads Holme

en ren FUD artikel....

"»Jeg ville starte med at kigge på f.eks Jelly Bean 4.2. Den har ca 20% af brugerne, og er samtidig en halvgammel Android-version. Så ville jeg kigge i koden for Jelly Bean og sammenligne med senere versioner. Herved ville jeg sikkert kunne finde nogle sikkerhedsfejl, der er rettet i senere versioner, men findes for Jelly Bean,« skriver han og fortsætter:"

Nå så vil du sikkert kunne, og det skakl man tro på bare fordi du siger det?

Det er ikke så længe siden at en virus producent indrømmede, at der var ikke de store problemer med virus/malware på android telefoner så længe man holdte sig til den officielle shop.

Det eneste jeg er enig i, er at det vil vare rart hvis alle de skide producenter stoppede med at fucke android op med deres "skins". Hvis de gjrode det, vil de også lettere kunne opdatere deres egen hw. At Esben snakker om at lade google gøre det, viser måske bare han ikke rigtig fatter hvad han snakker om. For at google vil kunne gøre som han siger, så vil google skulle lave drivere til alt det underlige hw man som producent kunne finde på at bruge. Desuden har google prøvet med "android silver" at lave en base platform, som en produent overholder, hvor efter google så står for det hele, men det var Samsung, htc osv jo ikke så glade for....

  • 8
  • 2
Sven Waskönig

En stor del af problemet er vel, at de enkelte producenter har besluttet sig for en kort levetid for deres produkter, før de sender noget nyt på gaden. Hvis de virkelig ville, burde de nok kunne holde tingene opdaterede i længere tid, end det er tilfældet.

Forbrugerne burde kunne vælge den producent, der opdaterer deres produkter oftest - desværre har de fleste mobilejere slet ikke det fokus og producenterne vil hellere "opdatere" ved at sælge en ny model.

Det taler jo for, at man burde holde sig til iPhone, Jolla, Windows, Blackberry eller måske noget med Cyanogenmod (De sidste tre kender jeg dog ikke opdateringspolitkkerne for). For hvilken Android-producent giver deres produkter en lang levetid?

Jeg er ikke helt enig i, at Google har ansvaret. Det svarer vel til at sige, at Microsoft har ansvaret for det software, som nogle producenter som HP og Lenovo smider på deres PC'ere - eller at Microsoft skal holde folks Java opdateret. Producenterne har ansvaret - de vælger selv politikkerne for deres produkter.

  • 2
  • 1
Christian Nobel

Meget enig.

Hvis så bare producenterne lod være med at være så latterligt lukkede, så kunne telefonerne sagtens bruges og opdateres.

Meget af indmaden kommer jo alligevel fra ganske få vi-skal-i-hvert-fald-ikke-frigive-vores-specifikationer fabrikanter, fordelt på ret få chipsæt.

Hvis disse specifikationer var tilgængelige, og producenterne også ville stille en åben boot-loader til rådighed, ja så ville der være mange muligheder for genbrug - især når man tager i betragtning at først så steg hw kravet til android, men så er det faldet igen.

Eller man kunne lægge et helt andet OS på.

  • 2
  • 0
Christoffer Kjeldgaard

der er rettet i senere versioner, men findes for Jelly Bean,« skriver han og fortsætter:"

Nå så vil du sikkert kunne, og det skakl man tro på bare fordi du siger det?

Nej, han siger det, fordi han har ret. Eksempelvis er der denne fejl:

Android 1.6 Donut through 4.2 Jelly Bean does not properly check cryptographic signatures for applications, which allows attackers to execute arbitrary code via an application package file (APK) that is modified in a way that does not violate the cryptographic signature, probably involving multiple entries in a Zip file with the same name in which one entry is validated but the other entry is installed, aka Android security bug 8219321 and the "Master Key" vulnerability.

Kilde: http://www.cvedetails.com/vulnerability-list/vendor_id-1224/product_id-1...

Payload kunne være gennem en gennem en tilpasset hjemmeside, der udnytter denne fejl:

java/android/webkit/BrowserFrame.java in Android before 4.4 uses the addJavascriptInterface API in conjunction with creating an object of the SearchBoxImpl class, which allows attackers to execute arbitrary Java code by leveraging access to the searchBoxJavaBridge_ interface at certain Android API levels.

Og done, så er der er en potentiel flade af over 40 % af Android telefoner. Som en del af et af de første projekter jeg lavede på AAU viste vi et proof of concept lavet af nogle hackere på DefCon 18. Det lykkedes os på under en måned med ingen kendskab til udvikling af software at få fuld kontrol over en Samsung Galaxy S, der kørte Android 2.1. Trigger mekanismen var udnyttelse af en fejl, når brugeren modtog en SMS.

Hvis så bare producenterne lod være med at være så latterligt lukkede, så kunne telefonerne sagtens bruges og opdateres.

Enig. Kinesiske producenter, der fremstiller MTK-baserede telefoner, har dog en langt større åbenhed. Bootloaderen er f. eks. stort set aldrig låst, og kan opdateres, downgrades eller erstattes efter behov. Man kan endda skrive et nyt partition layout, der ændrer størrelsen på bootloaderen hvis dette skulle være nødvendigt. Værktøjerne hertil stammer fra MTK selv. Problemet er, at de kinesiske enheder er ikke eksisterende på det danske marked og skal importeres. Desuden lægger forbrugere stor tillid til brands, og sikkerhedsissues er bare ikke i høj kurs når det gælder brand-værdi. Se f. eks. på de alenlange mængder af Sony skandaler gennem de sidste 5 år. Har det haft en stor indflydelse på Sonys brand? Nope, selvom der i hvert produktsegment Sony befinder sig i er store konkurrenter. Der er ikke sket nogen forbrugerflugt.

  • 2
  • 0
Kenneth Schack Banner

Android markedet vil kollapse indenfor de næste 5 år hvis ikke der sker ændringer på dette område mht. nyeste version af Android til alle..

Man kunne dog os håbe en tredje parts firmware kan installeres nemt ligesom vi alle kan fjerne Windows og installere Linux og pludseligt er der helt nyt liv i vores maskiner og langt færre bekymringer!

  • 0
  • 1
Bent Jensen

Med andre ord: Bliver det solgt, så skal det fixes.


Meget af det er solgt, for lang tid siden. Men du har ret, at ved nye modeller og enheder, bør det fixets. Skriver du også lige til MS, og de andre store :-)

Og holder du op med at købe billig ting fra nettet, og fravælger du firmaer som Sony, Samsung, MS, Lenovo ..... ?

Men der er også forskel på enhederne, og sikkerheden man skal have.
Adgang til min bil, med sikkerheds systemer som bremser og motor, synes jeg er vigtigt selv om den er 10 år gammel, mens mit MC til 249,.- kan jeg godt tåle bliver hacket, selv om det kun er et halv år gammel.
Så synes man skal starte med at bringe de vigtigt ting i orden først.
Som banker forbindelser, noget en bank som Coop, åbenbart synes er alt for besværligt.
Så man kunne jo starte her :-)

http://www.version2.dk/artikel/coops-it-direktoer-irriteret-over-certifi...

  • 0
  • 0
Christian Nobel

Man kunne dog os håbe en tredje parts firmware kan installeres nemt ligesom vi alle kan fjerne Windows og installere Linux og pludseligt er der helt nyt liv i vores maskiner og langt færre bekymringer!

Selv om deres gøres hvad der kan for at gøre tilværelsen sur, eksempelvis UEFI, og hardware producenter med primadonna nykker som ikke vil frigive specifikationerne så der kan laves drivere.

  • 1
  • 0
Christian Nobel

Og holder du op med at købe billig ting fra nettet, og fravælger du firmaer som Sony, Samsung, MS, Lenovo ..... ?

Hvad er der så tilbage - de billige er totalt uden dokumentation, det dyre hermetisk lukket?

Men der er også forskel på enhederne, og sikkerheden man skal have.
Adgang til min bil, med sikkerheds systemer som bremser og motor, synes jeg er vigtigt selv om den er 10 år gammel, mens mit MC til 249,.- kan jeg godt tåle bliver hacket, selv om det kun er et halv år gammel.

Og så er det man kan frygte når bil (eller traktorbranchen som i dette tilfælde) begynder at få helt absurde ideer - direkte fra guds eget land:

http://hackaday.com/2015/05/12/ask-hackaday-fixing-your-tractor-could-la...

  • 0
  • 0
Keld Simonsen

De billige kinesiske fabrikanter (o.a.) kunne jo bare lægge cyanogenmod på deres telefoner, og så 1 - 2 GB RAM, så burde cyanogenmod kunne sikkerhedsoptateres i det uendelige. Oneplus One har gjort det, men deres telefoner koster i omegnen af 2.500 kr, og de billige kinesiske android-telefoner koster cirka 500 kr.

  • 0
  • 0
Harry Jessen

Ja det kunne de måske godt, men første betingelse ville være at de fik adgang til kildekoden på alt hardware, for at kunne opgradere driverne.

Jeg tror ikke der er mange fabrikanter der bare lige sådan vil adgang til kildekoden på driverne.

Sidder og skriver dette på en Galaxy Tab 2 og den er endnu ikke kommet i version 12.1 som er nyeste version af CyanogenMod. Må tage til takke med natlige versioner af 11, eller som den også hedder 4.4.4 KitKat.

Seneste stabile version er tilbage i 10 serien.

Der skal iøvrigt nok ansættes ikke så få programmører hos CyanogenMod hvis de skal kunne understøtte alle mulige mærker, eller de skal have fat i mange flere der vil kode gratis til de forskellige enheder.

  • 0
  • 0
Christoffer Kjeldgaard

De billige kinesiske fabrikanter (o.a.) kunne jo bare lægge cyanogenmod på deres telefoner.

Det gør de allerede. De 4 kinatelefoner jeg har haft mellem hænderne kører allessammen en tilpasset udgave af CM. Problemet er derimod, at CM generelt har en holdning at de kinesiske copyphones ikke er noget de vil røre med en ildtang, og du derfor selv skal bygge CM fra source hvis du vil have en opdatering.

Om det er fordi telefonerne har begrænset udbredelse, eller copyright infringement der er grunden ved jeg ikke.

  • 0
  • 0
Log ind eller Opret konto for at kommentere