Google vil ikke lappe alvorlig Androidsårbarhed før til sommer

10. maj 2017 kl. 09:227
Google vil ikke lappe alvorlig Androidsårbarhed før til sommer
Illustration: Android.
Sikkerhedsbristet rammer omkring 40 procent af alle Android-enheder.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Siden Android 6.0.1 har brugere ikke længere skullet give tilladelse til, at apps på telefonen må lave pop-up lag henover andre åbne apps som Facebooks Messenger for eksempel har gjort i flere år efterhånden.

I Messengers tilfælde er det ikke et problem, men det kan blive ubehageligt for ANdroid-brugeren, hvis vedkommende henter en app ned, der prompte hijacker ens skærm ved at lægge et nyt lag ned over alting.

Det kan være en irriterende reklame, men det kan i princippet også være en tro kopi af den app, der ligger nedenunder. Det åbner op for et utal af phishing-muligheder, hvor man kan franarre folk kodeord og brugernavne samt reel gidseltagning af telefonen, indtil en løsesum er betalt. Det skriver theregister.co.uk.

Det eneste der ifølge theregister.co.uk kan redde en mobilbruger med den nyeste version af Android er at være ekstrem opmærksom på, hvilke apps der hentes ned på telefonen.

Vil først løse problemet til sommer

Google har oplyst til sikkerhedsfirmaet der opdagede fejl, Check Point, at sårbarheden vil blive lukket i Android O, som ventes rullet ud til sommer.

Artiklen fortsætter efter annoncen

Indtil da oplyser Google, at man vil sætte sin lid til den dørmands-software, der smider apps ud af Google App Store, hvis der findes mistænkeligheder, eller er indrapporteres om misbrug gennem den pågældende app.

Ifølge theregister.co.uk er der dog adskillige eksempler på, at softwaren er utilstrækkelig på en række punkter, akkurat som den software, der beskytter Apple Store er det.

7 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
10. maj 2017 kl. 21:19

På iOS popper spørgsmål op om man vil give app'en adgang når den forsøger. Det giver bedre forståelse end at forhåndsgodkende alt det man ikke forstår.

Disse funktioner er også til stede på forskellige varianter af Android. Jeg har haft muligheden for at blive spurgt om, en given app må få adgang til en given funktion eller bestemte typer af data hver gang app'en forsøger at tilgå funktion eller data. Så kan jeg svare "tillad" eller "nægt" og markere om indstillingen skal huskes. Funktionen har for mig været tilstede i CyanogenOS og i LineageOS

4
10. maj 2017 kl. 18:49

"Det samme er vel gældende for andre mobile OS?" Måske. På iOS popper spørgsmål op om man vil give app'en adgang når den forsøger. Det giver bedre forståelse end at forhåndsgodkende alt det man ikke forstår. Det kan Android 6 også nu også med enkelte apps. Jeg har ikke kendskab til Windows Phone apps-sikkerhed. Fragmenteringen, at jeg ikke ved om jeg kan sikkerhedsopdatere min Android enhed om en måned, er et andet stort problem.

7
11. maj 2017 kl. 07:01

At man ikke kan låse apps inde og ændre sikkerhedsindstillinger efter installation er en katastrofe. Det er take it or leave it.

Beklager men det er simpelthen forkert. Siden Android 6 (2015) bliver man bedt om at godkende tilladelser efterhånden som der er brug for dem, og man har mulighed for at give og fratage tilladelser efterfølgende.

Jeg bukkede under for presset sidste uge og installerede facebooks Messenger Lite, og fratog den øjeblikkeligt samtlige tilladelser. Og det virker fint. Da jeg så alligevel gerne ville sende et foto, gav jeg den nådigst lov til at benytte mit kamera. Lokation, kontaktpersoner, sms osv får den ikke lov til. Altså så er det heller ikke sværere...

I øvrigt skal apps der vil lægger sig hen over andre, be om særskilt tilladelse hertil. Jeg benytter Twilight appen der lægger et rødfilter på om aftenen. Man får en særlig "screen overlay detected" advarsel (benytter engelsk ui), og skal ind under indstillinger og godkende dette - det er ikke nok bare at vinge en checkboks af..

Jeg er helt med på, at visse producenters sløsede indstilling til opdateringer og fragmenteringen er et problem, men den problemstilling du nævner der Mogens, har google trods alt taget hånd om for et par år siden.

Se evt https://www.howtogeek.com/230683/how-to-manage-app-permissions-on-android-6.0/

2
10. maj 2017 kl. 17:06

Android er designet til fortjeneste for Google, ikke til optimal sikkerhed for brugeren. Dette er blot endnu er bevis. At man ikke kan låse apps inde og ændre sikkerhedsindstillinger efter installation er en katastrofe. Det er take it or leave it. Diverse apps som spil skal have adgang til medier og filer m.m. "fordi ellers kan ikke skrive deres filer på SD kortet". Kan almindelige brugere gennemskue om det er rigtigt? Og stole på de kun læser deres egne filer fordi de lover det i en eller anden EULA?

1
10. maj 2017 kl. 14:13

Google har oplyst til sikkerhedsfirmaet der opdagede fejl, Check Point, at sårbarheden vil blive lukket i Android O, som ventes rullet ud til sommer.

Så de lukker hullet i den software kun de nyeste Google telefoner får, mens resten må sejle deres egen sø. Bravo. I maj var det kun 38,3% der havde Android M eller nyere, endnu færre får Android O.

http://www.androidpolice.com/2017/05/02/may-2017-android-platform-distribution-shows-another-big-gain-nougat-small-uptick-older-versions/