Millioner af mobiltelefoner i de danske hjem byder hackere alt for let indenfor på grund af manglende vedligehold fra producenterne.
Det udbredte Android-styresystem modtager nemlig opdateringer alt for lemfældigt fra producenterne, påpeger sikkerhedsfolk. Problemet er blevet særligt tydelig i kølvandet på, at flere alvorlige sårbarheder er blevet afsløret i styresystemet i den senere tid.
I sensommeren kom det frem, at en hacker via sikkerhedshullet ‘Stagefright’ alene ved at sende en MMS-besked kunne opnå kontrol med Android-telefonen og de følsomme data, den indeholder og giver adgang til – så som netbank, mailboks og kritiske virksomhedssystemer.
Sidenhen er endnu flere sårbarheder dukket op, hvor en telefon eksempelvis kan overtages, hvis den besøger en hjemmeside med en særligt indrettet MP3-fil.
Bogdan Botezatu, senior E-Threat Analyst ved it-sikkerhedsvirksomheden Bitdefender, betegner Android-situationen for slem:
»Der er mange enheder rundt om, der ikke har fået sikkerhedsopdateringer, siden brugeren købte dem. Det er en møjsommelig proces, der ikke kan sammenlignes med den hos Apple. Apple har et slags monopol, hvor de bestemmer, hvornår de frigiver et image til en telefonmodel,« siger han
Svært at gennemskue hvor mange huller din Android-telefon har
Modsat Apples IOS og Microsofts Windows bruges Android styresystem nemlig af mange forskellige telefonproducenter.
Det er meget vanskeligt at vide, hvilke huller, der befinder sig i en konkret Android-telefon, da det ikke er oplysninger, der er umiddelbart tilgængelige.
Google, der vedligeholder Android, har siden august lukket mere end 50 sikkerhedshuller med softwareopdateringer til de såkaldte Nexus-enheder – og karakteriseret ca. 30 af hullerne som kritiske.
Google kontrollerer selv opdateringerne på Nexus, der er en Google-telefon, men hos alle andre Android-telefoner er det andre producenter, som f.eks. Sony og Samsung, der styrer opdateringerne.
Så gode er producenter til at sikre Android Kilde: androidvulnerabilities.org
University of Cambridge har udregnet en score for en række smartphone-brands på markedet. Jo højere score, des færre sårbarheder.
Forsker ved Cambridge universitetet i England Daniel R. Thomas har undersøgt i hvor høj grad, telefonproducenterne opdaterer deres Android-enheder i relation til kendte sikkerhedshuller.
Og der er plads til forbedring. Ifølge ham er problemet, at der ikke er økonomisk incitament hos producenterne:
»Der er mange virkeligt gode folk hos disse selskaber, som gerne vil udsende opdateringer. Men det er svært at overtale marketing, hvis ikke det kan betale sig,« siger han.
For virksomheder med kritiske data er sikkerhedshuller via medarbejdernes telefoner ekstra problematisk. Derfor har Ingeniørforeningen IDA taget konsekvensen af den uforudsigelige situation, og skifter nu sin telefonpark til medarbejdere fra Android til Microsoft og Apple, fortæller it-chef Jens Knobelauch:
»Vilkårligheden hersker på Android-markedet, og det giver en udfordring, når vi har en portefølje af enheder, der kommer fra forskellige producenter.«
Sony har for øjeblikket flere kritiske sikkerhedshuller i sine Android-telefoner – bl.a. Stagefright 2.0, som Google ellers fik lukket på Nexus i starten af oktober, og som Sony har kendt til siden september.
Ifølge produktchef i Sony Mobile Rikard Skogberg, skulle dette hul og en anden sårbarhed dog blive lukket på telefonerne på det nordiske marked i løbet af de kommende uger.
Mobiltelefonbrands med Android-styresystemet
Acer · Aigo · Alcatel · Asus · Coolpad · Dell · Dopod · Gigabyte · Google · Haier · Hisense · HKC · HTC · Huawei · K-Touch · Kyocera · Lenovo · LG · Meizu · Motorola · Orange · Pantech · Philips · Qigi · Samsung · Sharp · Sony · Sonyericsson · View Sonic · Xiaomi · ZTE
»Sony Mobile tager sikkerhed og privacy i forhold til vores kundedata meget seriøst,« oplyser han i en mail, hvor han også fortæller, at Sony Mobile ikke har nogen officielle planer om at udsende opdateringer på en månedlig basis lige som Google gør.
Analysevirkomheden IDC vurderer, at der er 3,4 millioner Android-telefoner på det danske marked, mens tallet på verdensplan skal tælles i milliarder.
Det er ikke lykkedes Version2 at få en kommentar fra hverken HTC, LG eller Samsung, som alle har Android-styresystemet.
Denne artikel er produceret til avisen Ingeniøren
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
