Kritiske opdateringer ignoreres: Millioner af Android-telefoner fyldt med sikkerhedshuller

Illustration: Android Logo
Selv om telefonproducenterne kender til sikkerhedshuller i Android, går der ofte lang tid, før de bliver lukket, hvis det overhovedet sker.

Millioner af mobiltelefoner i de danske hjem byder hackere alt for let indenfor på grund af manglende vedligehold fra producenterne.

Det udbredte Android-styresystem modtager nemlig opdateringer alt for lemfældigt fra producenterne, påpeger sikkerhedsfolk. Problemet er blevet særligt tydelig i kølvandet på, at flere alvorlige sårbarheder er blevet afsløret i styresystemet i den senere tid.

I sensommeren kom det frem, at en hacker via sikkerhedshullet ‘Stagefright’ alene ved at sende en MMS-besked kunne opnå kontrol med Android-telefonen og de følsomme data, den indeholder og giver adgang til – så som netbank, mailboks og kritiske virksomhedssystemer.

Læs også: Alvorligt sikkerhedshul rammer 950 mio. Android-enheder

Sidenhen er endnu flere sårbarheder dukket op, hvor en telefon eksempelvis kan overtages, hvis den besøger en hjemmeside med en særligt indrettet MP3-fil.

Læs også: Stagefright 2.0 ryster igen sikkerheden på en milliard Android-telefoner

Bogdan Botezatu, senior E-Threat Analyst ved it-sikkerhedsvirksomheden Bitdefender, betegner Android-situationen for slem:

»Der er mange enheder rundt om, der ikke har fået sikkerhedsopdateringer, siden brugeren købte dem. Det er en møjsommelig proces, der ikke kan sammenlignes med den hos Apple. Apple har et slags monopol, hvor de bestemmer, hvornår de frigiver et image til en telefonmodel,« siger han

Svært at gennemskue hvor mange huller din Android-telefon har

Modsat Apples IOS og Microsofts Windows bruges Android styresystem nemlig af mange forskellige telefonproducenter.

Det er meget vanskeligt at vide, hvilke huller, der befinder sig i en konkret Android-telefon, da det ikke er oplysninger, der er umiddelbart tilgængelige.

Google, der vedligeholder Android, har siden august lukket mere end 50 sikkerhedshuller med softwareopdateringer til de såkaldte Nexus-enheder – og karakteriseret ca. 30 af hullerne som kritiske.

Læs også: Stagefright-sårbarhed lever videre trods opdatering fra Google

Google kontrollerer selv opdateringerne på Nexus, der er en Google-telefon, men hos alle andre Android-telefoner er det andre producenter, som f.eks. Sony og Samsung, der styrer opdateringerne.

Forsker ved Cambridge universitetet i England Daniel R. Thomas har undersøgt i hvor høj grad, telefonproducenterne opdaterer deres Android-enheder i relation til kendte sikkerhedshuller.

Og der er plads til forbedring. Ifølge ham er problemet, at der ikke er økonomisk incitament hos producenterne:

»Der er mange virkeligt gode folk hos disse selskaber, som gerne vil udsende opdateringer. Men det er svært at overtale marketing, hvis ikke det kan betale sig,« siger han.

For virksomheder med kritiske data er sikkerhedshuller via medarbejdernes telefoner ekstra problematisk. Derfor har Ingeniørforeningen IDA taget konsekvensen af den uforudsigelige situation, og skifter nu sin telefonpark til medarbejdere fra Android til Microsoft og Apple, fortæller it-chef Jens Knobelauch:

»Vilkårligheden hersker på Android-markedet, og det giver en udfordring, når vi har en portefølje af enheder, der kommer fra forskellige producenter.«

Sony har for øjeblikket flere kritiske sikkerhedshuller i sine Android-telefoner – bl.a. Stagefright 2.0, som Google ellers fik lukket på Nexus i starten af oktober, og som Sony har kendt til siden september.

Læs også: Sony Mobile maner til ro trods blodrød sårbarheds-detektor: Det er falsk alarm

Ifølge produktchef i Sony Mobile Rikard Skogberg, skulle dette hul og en anden sårbarhed dog blive lukket på telefonerne på det nordiske marked i løbet af de kommende uger.

»Sony Mobile tager sikkerhed og privacy i forhold til vores kundedata meget seriøst,« oplyser han i en mail, hvor han også fortæller, at Sony Mobile ikke har nogen officielle planer om at udsende opdateringer på en månedlig basis lige som Google gør.

Læs også: Cambridge-forskere: Her er de producenter, der er ringest til at opdatere Android

Analysevirkomheden IDC vurderer, at der er 3,4 millioner Android-telefoner på det danske marked, mens tallet på verdensplan skal tælles i milliarder.

Det er ikke lykkedes Version2 at få en kommentar fra hverken HTC, LG eller Samsung, som alle har Android-styresystemet.

Denne artikel er produceret til avisen Ingeniøren

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Kramshøj Blogger

LOL det passer vist ikke. Jeg har eksempelvis en Motorola Moto E - som ikke engang kan køre 12 - og der kommer vist ikke daglige opdateringer mere?

Hvis man vil have en ekstra øjenåbner omkring Android vulnerabilities, så check
http://androidvulnerabilities.org/ @Møllerhøj - I burde inkludere den grafik i hver artikel om Android.

NB: Jeg er ikke Android hader, men kan simpelthen bare ikke se hvordan det skal blive sikkert, når ALLE fucking modeller skal have DERES image bygget specielt altså WTF!

  • 7
  • 0
Jakob Møllerhøj Editor

Hvis man vil have en ekstra øjenåbner omkring Android vulnerabilities, så check
http://androidvulnerabilities.org/ @Møllerhøj - I burde inkludere den grafik i hver artikel om Android.

Måske nok. Det er ikke ALLE telefoner, der indgår i den undersøgelse, men den ser ud til at give et praj. Derudover. Så vil jeg da anbefale dem, der ikke lige har fået gjort det, at køre Stagefright Detector fra Zimperium på deres droid. Bare for en god ordens skyld.

Og til de nysgerrige, så er det muligt at se, hvad Google løbende retter på Nexus her (der er nok at tage af):
https://groups.google.com/forum/#!forum/android-security-updates

Og så ville det være fedt, hvis der var et værktøj lige som Stagefright Detector, men bare for alle de CVE'er, som Google foreløbigt har lukket på Nexus'er. Så man kunne få en reel sikkerhedsstatus for en vilkårlig Android-telefon. Sådan et program findes dog mig bekendt ikke.

Derudover ser producenterne ikke ud til at være videre åbne med deres changelogs, når de ruller nye opdateringer ud. Så det kan være ganske umuligt at se, hvad der faktisk bliver rettet - og måske særligt, hvad der ikke bliver rettet. Jakob - Version2

  • 2
  • 0
Jesper Høgh

...operativsystemer eller app-frameworks uden indbyggede bagdøre?
Nej, vel?

Når så en eller anden black- eller whitehat finder en af disse døre, så kan det potentielt give andre end de inviterede adgang gennem denne dør.

Og her lukker man så den pågældende dør, og åbner en anden - det er det, man kalder sikkerhedsopdatering.

Denne sikkerhedsopdatering udelukker så for en tid andre end dem, som døren er lavet til.

Men når nu de bedste programmører kan indfanges i et simpelt konstrueret net af dollars, så er det let, at udspy uanede mængder af dels operativsystemer og ikke mindst frameworks, som virker tiltalende på udviklere, eller rettere "udviklere".

Og, igen, vil jeg sige: Før i sender mig en sølvpapirshat, så check lige egen naivitet.

  • 0
  • 1
Keld Simonsen

Jeg forstår ikke hvorfor Google ikke har lavet en bedre sikkerhedsopdateringsmodel for Android. De kunne vel have lavet en model ala Debian/Ubuntu/Mint mm, hvor de systemer der er bygget oven på grundsystemet, kan benytte grundsystemets pakker og dermed grundsystemets sikkerhedsopdateringssystem. Og givet Googles almindelige innovationsfærdigheder kunne de vel også have lavet noget smartere. Givet at Android er verdens største operativsystem så er det faktisk for dårligt.

Måske kunne cyanogen lave teknologien, og stå for servicen, på baggrund af deres egen opdateringsservice, så kunne det også være brugeligt for andre systemer, for Androids open source pakker.

Når de kan pakke alle mulige apps for alle android systemer, så burde de vel også kunne pakke Android-komponenterne så de kan bruges af alle. eller hur?

Selve opdateringen af Linux-kernen burde man da også kunne lave noget smart til, så deforskellige telefonproducenter kan have deres specielle drivere oven på en rullende kerneopdatering, med noget backports eller noget smartere. Altså et interface i kernen så kernen kunne opdateres, og gamle hw-drivere så stadig kunne bruges. Dette kunne jo også bruges i andre Linux-distroer end Android...

  • 2
  • 0
Log ind eller Opret konto for at kommentere