Google patcher flere kritiske sårbarheder i Android på Nexus
I en opdatering til Nexus-enhederne patcher Google endnu et sikkerhedsproblem relateret til Stagefright-biblioteket i Android. Det har Kasperskys Threatpost-blog bemærket.
Mediebiblioteket Stagefright kom i alverdens søgelys, da det i forbindelse med Blackhat-messen i starten af august kom frem, at alvorlige sikkerhedsproblemer i Stagefright eksempelvis gjorde det muligt at hacke en Android-telefon alene ved at sende den en mms-besked.
Dengang meddelte Google, at virksomheden nu ville udsende jævnlige sikkerhedsopdateringer til Android.
Og nu har Google udsendt den fjerde opdatering i rækken til virksomhedens Nexus-enheder.
Den patcher seks sårbarheder, fremgår det af en sikkerhedsbulletin fra virksomhede,. heraf en i Stagefright-biblioteket, der er kategoriseret som 'high' i alvorlighed.
To andre sårbarheder bliver kategoriseret som kritiske, altså niveauet over 'high', fordi sårbarhederne gør det muligt at afvikle kode på telefonen over afstand (remote code execution).
Den ene af de to kritiske sårbarheder er CVE-2015-6608, som berører Mediaserver i Android. Den gør det ifølge bulletinen fra Google muligt for en angriber at afvikle kode på telefonen via indhold som en mms eller afspilning af mediemateriale i browseren.
Den anden kritiske sårbarhed, CVE-2015-6609, ligger i libutils i Android og kan udnyttes af en angriber til at afvikle kode på telefonen under afspilning af en lydfil.
Patcher netværksinterface
Og så patcher Google også sårbarheden CVE-2015-6614, der har fået betegnelsen 'moderate'. Altså mindre alvorlig end de øvrige. Den relaterer sig til telefonkomponenten i Android og kan gøre det muligt for en ondsindet applikation at sende uautoriserede data til netværksinterfacet, hvilket kan betyde øgede dataudgifter for brugeren.
Sårbarheden kan også bruges til at forhindre brugeren i at modtage opkald. Opdagelsen af sårbarheden er krediteret til to sikkerhedsforskere fra det sydkoreanske KAIST-institut.
Version2 har for nyligt omtalt forskernes arbejde med at kortlægge mulige sikkerhedsproblemer i relation til 4G-taletrafik. Herunder muligheden for på Android at blokere for, at brugeren kan modtage opkald. Hvilket altså er den sårbarhed, Google nu ser ud til at adressere med opdateringen.
Ud over at patche Nexus-enhederne frigiver Google kildekoden til patchene til Android Open Source Project (AOSP). Og derudover fremgår det af sikkerhedsbulletinen, at Googles partnere blev informeret om sikkerhedsproblemerne 5. oktober. Partnerne tæller blandt andet Samsung, skriver Kaspersky.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
