Målrettet angreb på Android-telefoner udnytter hul i Webkit-browseren

En sårbarhed i standard-browseren på Android åbner op for målrettede angreb mod Android-brugere. Antivirus på telefonen vil ikke hjælpe.

Der har efterhånden været en del fokus på sikkerhedstrusler mod smartphones, men som regel har det handlet om, at man skal være varsom med, om man downloader en ondsindet applikation.

Men en smartphone kan også inficeres på samme måde som almindelige computere, lyder meldingen fra det nystartede amerikanske sikkerhedsfirma Crowdstrike.

Og for at lægge vægt bag budskabet vil folkene fra Crowdstrike demonstrere et angreb mod Android-telefoner på RSA-konferencen senere denne uge. Det skriver Cnet.com.

I stedet for at lokke brugerne til at downloade en applikation med spionsoftware, skal angriberen bare sende en sms med et link, som brugeren skal følge, før hans telefon bliver inficeret af malware.

Det kan for eksempel være en falsk besked om, at man har brugt for meget datatrafik og skal følge linket, hvis man vil undgå en ekstraregning.

Så snart brugeren besøger den inficerede hjemmeside, har hackerne frit spil til at plante malware på telefonen, fordi der er en sårbarhed i Webkit-browseren, siger Crowdstrike-folkene, som kommer fra chefstillinger hos McAfee.

Dermed kan en hacker for eksempel aflytte samtaler og sms’er, spore telefonens placering og bruge telefonens mikrofon til at aflytte offeret.

Angrebet virker dog kun som et målrettet angreb, da hackeren skal vide nøjagtigt, hvilket styresystem der skal inficeres.

Ifølge den kendte sikkerhedsekspert Charlie Miller, som flere gange har vundet hackerkonkurrencen Pwn2own, vil det ikke hjælpe at installere antivirussoftware på sin telefon.

Som en del af sikkerheden i et mobilstyresystem som Android kan en applikation nemlig ikke få adgang til styresystemets indre, og dermed vil også antivirussoftware være afskåret fra at komme til bunds og finde malware, der skjuler sig godt.

Det er helt altså op til producenten af styresystemet - her Google - at sikre mod malware, lyder konklusionen fra Crowdstrike.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Jesper Kleis

Du synes måske det er irrelevant at der kan installeres malware på din telefon blot ved at du følger et link - og samtidig med god samvittighed anbefale en telefon der tillader dette til venner, bekendte og familie?

Derudover, så er det kun google der kan rette fejlen, og som sådan ikke en reklame for et sikkerhedsprodukt.

  • 4
  • 1
#4 Jesper Kleis

@Thomas: Efter at have læst CNET artiklen - virker det som om det er reelle farer for alle platforme. Men især de mobile platforme er sårbare.

Åbenbart skal koden være ganske målrettet mod en enkelt platform ad gangen - så afsenderen skal vide præcis hvilken enhed man har. Derefter kan man lytte med på telefonsamtaler og opsnappe sms'er. En hver spions drøm

  • 3
  • 0
#5 Jakob Damkjær

At den browser der køre på de fleste android ikke er hverken chrome eller safari. Samt at nyere safari (lion) køre med webkit2 liber der implementere fuldstændig process seperation mellem "html render delen" og "http klienten" og dermed reducere konsekvenserne ved at webkit2 evt skulle blive hacket...

Men hvis det nu også var en sårbarhed i iOS eller Mac os eller chrome monstro version2 ikke ville ha bemærket det...

  • 1
  • 0
#7 Tore Green

Angrebet virker dog kun som et målrettet angreb, da hackeren skal vide nøjagtigt, hvilket styresystem der skal inficeres.

Så er det jo "heldigt" at user-agent giver ret præcis information om dette. Min siger f.x.

Mozilla/5.0 (Linux; U; Android 2.3.3; da-dk; GT-I9100 Build/GINGERBREAD) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.0 Mobile Safari/533.1

  • 0
  • 0
#11 Carsten Olsen

I 2011 (Pwn2own) var der også tale om en "sårbarhed" i Chrome, men folkene der havde fundet "sårbarheden" trak sig i sidste øjeblik før de skulle demonstrer deres "færdigheder" og gik glip af 189000kr i dusør fra Google.

Derimod blev der fundet 3 huller i sikkerheden i IE8 (på Windows7), dette indrømmede Microsoft var rigtigt, men folk kunne bare skifte til IE9, Microsoft ville ikke komme med en dato for en sikkerheds-opdatering til IE8. (IE9 kan jo ikke kører på Windows XP)

Så jeg tror igen bare det er nogle der "snakker", beviserne på deres "kunnen" er ikke set endnu.

  • 0
  • 0
Log ind eller Opret konto for at kommentere