Mobilgiganter reagerer prompte på sikkerhedsbrist: lover månedlige sikkerhedsopdateringer

7. august 2015 kl. 09:2221
Google var først med et løfte om månedlige sikkerhedsopdateringer til Android OS, og nu følger flere af de helt tunge mobilproducenter - Samsung, LG og Lexus - trop.
person
Mads Lorenzen
Journalist
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Mads Lorenzen
Journalist

For godt en uge siden skrev vi om en sikkerhedsbrist, der potentielt satte sikkerheden på en lille milliard Android-enheder over styr. Med blot en enkelt MMS, som ikke engang behøvede at blive åbnet, kunne der skabes fuld adgang til 90% af samtlige androidtelefoner.

Kort efter afsløringen af sikkerhedsbristet, annoncerede Google, at Android OS ville blive opdateret månedligt, men det i sig selv løste ikke den usikkerhed, afsløringen i første omgang skabte. Der herskede nemlig stor tvivl om, hvorvidt de mange mobilproducenter hver især ville implementere opdateringerne hurtigt nok.

Artiklen fortsætter efter annoncen

Nu forlyder det, at der fremover, på månedlig basis, vil komme sikkerhedsopdateringer til Googles Nexus-enheder, samt mobilenheder fra Samsung og LG. De to sidstnævnte firmaer garanterer ligeledes, at de vil opretholde de løbende opdateringer på deres enheder i op til tre år, og den udmelding glæder David Jacoby, der er seniorforsker i sikkerhed hos Kaspersky.

»Hvis mobilproducenterne rent faktisk holder, hvad de lover, så er det helt fantastisk og et betydeligt skridt i den rigtige retning sikkerhedsmæssigt,« siger David Jacoby, der dog ærgrer sig over, at der skulle så meget til, før Google og mobilproducenterne indså, at der var et kæmpe problem.

»Det her er jo noget, journalister og sikkerhedsfirmaer har påpeget op til flere gange,« tilføjer han.

Emner
21 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
19
Jakob Damkjær
11. august 2015 kl. 07:44

At det er op til operatørene ? Uden at hedge det med et "undtagen i særlige lande hvor vi kan distribuere opdateringen direkte og der er den tilgængelig idag"...

Er din ulåste android telefon opdateret til en version af 5.1 der ikke er sårbar overfor stagefright ?

Men det er den ikke vel ?

Talte ikke om tablet eller andet grej... Har ikke hørt eller læst noget om hvordan de bliver opdateret....

Men er din tablet opdateret så den ikke er sårbar overfor stagefright ?

Som jeg har sagt tidligere er det ikke firmware opdatering... Det er indstillingsfiler (mobilnet telefon svare viderestillings osv en masse ting der skal tilpasses den enkelte operatørs systemer software osv)...

Bemærk at jeg også mener det er helt gak at det er sådan. Men det gør ikke at det magisk bliver anderledes... Og android har ikke central distribution af godkendte system opdatinger...

Nej jeg har ikke noget link til system indstillingsfiler men du kan heller ikke fremvise din ikke eksisterende opdaterede telefon ? Hvis du viser en android telefon med en samsung variant af android 5.1 der ikke er sårbar (det rigtige fik ikke bare at slå MMS autoplay fra) så har du nok ret i at der findes servere der operatør uafhængigt opdatere android dimser...

Ikke engang Googles egne telefoner købt direkte fra google har fået en opdatering... Hvorfor er det tilfældet ?

Og hvis der er sådan opdaterings servere hvorfor er der ikke nogen af de tech medier der dækker historien der nævner dem ?

  • more_vert
    • insert_linkKopier link
20
René Vangsgaard
11. august 2015 kl. 10:28

Hej Jakob. Tilføj gerne links hvor producenterne, f.eks. Samsung, siger "undtagen i særlige lande hvor vi kan distribuere opdateringen direkte og der er den tilgængelig idag".

Jeg er overbevist om at opdateringerne kun skal "forbi" de operatører som har tilpassede firmware versioner, hvilket er udbredt i USA, England og Jamaica - og nok også andre lande. Jeg kan ikke finde dokumentation for at operatørerne er del af opdateringskæden for versioner, som ikke er operatorspecifikke.

Mobilproducenterne ruller som regel opdateringerne ud i batches - hvordan disse batches udvælges har jeg ikke fundet noget info på.

  • more_vert
    • insert_linkKopier link
13
Jacob Nordfalk
8. august 2015 kl. 00:49

Gå ind i Meddelelser (eller hvad din SMS-app hedder), Indstillinger, Multimediemeddelelser og FJERN krydset i Automatisk modtagelse: Hent beskeder automatisk. Og så skal du i fremtiden lade være med at åbne MMS-meddelelser fra folk du ikke regner med at få MMS'er fra ;-)

  • more_vert
    • insert_linkKopier link
12
Jakob Damkjær
7. august 2015 kl. 22:44

Dog nok lidt urealistisk med 10 år...

NB! ref. der tilhøre tidliger post fra Samsung der allerede i deres udtalelser forsøger at lægge ansvaret hos teleoperatørene...

http://www.reuters.com/article/2015/08/07/us-android-security-idUSKCN0QC00320150807

Samsung Vice President Rick Segal acknowledged that his company could not force the telecommunications carriers that buy its devices in bulk to install the fixes and that some might do so only for higher-end users.

  • more_vert
    • insert_linkKopier link
11
Poul-Henning Kamp
7. august 2015 kl. 22:33

Det er på tide at der bliver indført et produktansvar for indlejret software og ved samme lejlighed kunne man passende stille krav om at moderne forbrugerelektronik skal kunne holde 10 år og at det bliver supporteret og sikkerhedsopdateret i alle 10 år.

  • more_vert
    • insert_linkKopier link
6
Jakob Damkjær
7. august 2015 kl. 14:32

Ikke kommer med på vognen er det stadig ligemeget for størstedelen af brugerene...

Hvilken operatøre har lovet de vil hjælpe til ?

  • more_vert
    • insert_linkKopier link
7
Mads Lorenzen
7. august 2015 kl. 15:29

Jeg har ikke kunnet finde teleoperatører, der (fortæller at de) bruger deres egne versioner af Android i Danmark eller norden endnu? Tips modtages med kyshånd.

Angående hvor længe mobilmodellerne hver især vedligeholdes softwaremæssigt, må vi umiddelbart afvente svar indtil en gang i næste uge. Tak for opmærksomheden :)

  • more_vert
    • insert_linkKopier link
8
Jakob Damkjær
7. august 2015 kl. 19:23

"Jeg har ikke kunnet finde teleoperatører, der (fortæller at de) bruger deres egne versioner af Android i Danmark eller norden endnu? Tips modtages med kyshånd."

Det gør de ikke men de skal alligevel være med i legen fordi det er ikke samsungs servere opdateringerne bliver tilgængelige fra. Det er teleoperatørenes servere, så det er endnu et komplicerende trin i det morads som sikkerhedsopdateringer på Android er...

At mobilproducenterne og Google fint kan give lipservice om at de tar trin for at forbedre situationen... Men hvis de ikke har de tusinder af teleoperatøre der er på planeten med i deres initiativ er det tomme ord der ikke faktisk forbedre situationen for almindelige forbrugere...

Og skylden for at systemet er så fucked op ligger for Googles dør der ikke har designet deres system så de har muligheden for at fikse det ved at ta en central beslutning om at unfucke systemet...

Men jeg vil æde min gamle hat på at Google og mobilproducenterne vil lægge ansvaret fra sig og kaste muder på operatørene for at de ikke vil betale for Googles dårlige samvittighed...

  • more_vert
    • insert_linkKopier link
9
Baldur Norddahl
7. august 2015 kl. 19:41

Det gør de ikke men de skal alligevel være med i legen fordi det er ikke samsungs servere opdateringerne bliver tilgængelige fra. Det er teleoperatørenes servere, så det er endnu et komplicerende trin i det morads som sikkerhedsopdateringer på Android er...

Mine Android enheder downloader kun opdateringer når de er på WiFi. Ja min Nexus 9 har kun WiFi. Hvilken operatør er det helt præcist du mener den skal hente opdateringer fra?

  • more_vert
    • insert_linkKopier link
10
Jakob Damkjær
7. august 2015 kl. 22:16

Opdateringerne bliver frigivet af operatørene til enhederne der er registreret til den operatør...

Det er helt gak gak men sådan er det. Tror det til dels har rod i operatør info instillingerne så enhederne kan funger som telefoner og trådløs 2/3/4G data forbindelse. Samtidtig er der også indstillinger som telefonsvare og viderestilinges systemerne for hver operatør der som det var åbentlyst ikke var operatør uafhængige som vist en iOS opdatering for et års penge siden hvor iOS 7 eller 8 ikke understøttede den elastik og tyggegummi måde som TDC laver viderestilling og telefonsvare på... Det er ulempen ved central global udgivelse af software at teleoperatøren kun har mulighed for at teste via beta testing.

Fordelen ved at den meget lille del af en moderne smartphone der har direkte interaktion med teleoperatøren kan tilpasses af teleoperatøren er forsvindende lille sammenlignet med fordelen ved at ha global release på sikkerheds og feature opdateringer...

Men i Android økosystemet, med undtagelse af nørder der rooter deres telefoner og installere cyanogen ect. builds, er det telepoperatørene der bestemmer hvornår en software update der er klar fra google og mobilproducenten bliver tilgængeligt for de kunder den teleoperatør har...

  • more_vert
    • insert_linkKopier link
14
Baldur Norddahl
8. august 2015 kl. 05:33

Opdateringerne bliver frigivet af operatørene til enhederne der er registreret til den operatør...

Det vil kræve at enheden er registreret til en operatør. Det er ikke tilfældet for nogen af de Android enheder jeg har eller har haft (HTC Desire HD, Samsung S3, Samsung S6, Nexus 9 (uden 3G modem), Nexus Player). De to sidste enheder kan slet ikke tilslutte et mobilnetværk, så det er simpelthen umuligt at de skulle få opdateringer fra en "operatør".

Min Samsung S6 er tilmed købt med et 3 abonnement. Men den kom direkte fra hylden båret af mig selv til kassen i Fona, og først ved betaling fik ekspedienten at vide at jeg ville købe et 3 abonnement sammen med den og dermed få noget rabat.

Jeg tror du forveksler med situationen i USA, hvor de store operatører sælger modificerede udgaver af telefonerne, som ikke alene er låst til en bestemt operatør men også indeholder apps og begrænsninger for den specifikke operatør. F.eks. kan de finde på at slå muligheden for "tethering" fra (koster ekstra abonnement). I det tilfælde er det naturligt at opdateringerne kommer fra operatøren, da det ikke er producentens standard firmware der køres med.

Vi har også låste telefoner i Danmark, men jeg har ikke hørt om operatører der har lagt deres egen firmware på.

  • more_vert
    • insert_linkKopier link
16
Jakob Damkjær
9. august 2015 kl. 22:28

Så er der kommet software opdateringer ?

Tillykke du har købt en telefon... Det øjeblik den bliver registreret til et nætværk downloader den indstillingsfiler til telefonen og er rullet ind i deres update system for android. For det er mobiloperatørene der styre hvornår opdateringer udkommer til Android...

At den nye telefon du kan købt formentlig vil få opdateringer relativt hurtigt og opdateringer til Android... og måske vil den løbende få opdateringer i fremtiden... det ændre ikke udsigten for de android bruger der købte en telefon sidste år eller forige år...

Telemarkedet i Danmark er ikke magisk... Selv om de ikke har specielt firmware og andet crapware som andre landes operatøre installere på telefoner så er der ikke en særlig server hos Samsung som sørger for at sende opdateringer til dem der har købt mobilerne i Danmark. Din telefon er købt i Fona... Ikke fra Samsung og Fona har heller ikke en opdaterings server. 3 har en opdaterings server men giv besked hvornår du faktisk får din opdatering ?

Ifølge Ars Technica skulle opdateringen komme med en opdatering i August...

http://arstechnica.com/gadgets/2015/08/waiting-for-androids-inevitable-security-armageddon/

"Also, the most popular Android devices are getting the fix in August includin Samsung Galaxy S6 Galaxy S6 Edge, Galaxy S5, Galaxy S4, Galaxy S3, Note 4, Note 4 Edge. HTC One M7, One M8, One M9. LG Electronics G2, G3, G4. Sony Xperia Z2, Xperia Z3, Xperia Z4, Xperia Z3 Compact. Android One."

Kom frisk med total hulk smash ragefest... Opdateringen er allerede lavet til android OS 5.1 (som kun køre på 2.6% af android telefoner 5 måneder efter 5.1 er udgivet) den ligger bare på Samsungs servere. Mens brugere af selv de nyeste android telefoner stadig ikke er beskyttet...

Måske får de fingeren ud og opdatere lidt mere promte med den her specifikke sårbarhed... men normalt har der været ugers ventetid på opdateringer til de nyeste telefoner, måneders ventetid på sidste års modeller... og ingen opdateringer til forrige års modeller.

Compare and contrast... på iPhone køre 85% på 8.X og på android køre 18% på android 5.X. iOS 8.4 køre på iPhone 4S udgivet i 2011 og om lidt vil den også kunne køre iOS 9.X og det er en telefon der er godt 4 år gammel.

  • more_vert
    • insert_linkKopier link
17
René Vangsgaard
10. august 2015 kl. 09:45

Hej Jakob, har du dokumentation på at ikke-operatør specifikke OS opdateringer hentes hos operatøren?

  • more_vert
    • insert_linkKopier link
18
Baldur Norddahl
10. august 2015 kl. 10:06

Hej Jakob, har du dokumentation på at ikke-operatør specifikke OS opdateringer hentes hos operatøren?

Det kan han ikke for det er absurd. Det er FUD.

Alverdens MVNO'er kan ikke vedligeholde opdateringer for samtlige Android telefoner der findes derude. Der findes virkelig mange.

Jeg bemærker også at Jakob hurtigt skøjtede hen over at min tablet og min Android TV boks slet ikke har kontakt til mobilnetværket. Hvem styrer så opdateringerne til dem?

Sagen er at visse teleoperatører har solgt modificerede Android telefoner, hvor opdateringer kom fra deres egne servere. Jakob har herfra konkluderet at det gælder ALLE Android telefoner. Men det passer ikke. Langt de fleste Android telefoner solgt i Danmark er umodificerede udgaver, hvor det er producenten der står for opdateringerne.

Der er ikke noget formål med at operatøren vedligeholder opdateringer hvis ikke de har modificeret firmwaren. Så det gider de naturligvis ikke bruge penge på.

Og så er det iøvrigt ikke meget anderledes med iPhone. Husker i da den første iPhone kom frem og Apple forlangte at mobilnetværkene skulle godkendes, før de kunne bruges? Men det var dengang. Idag er situationen en anden, både for Android og iPhone.

  • more_vert
    • insert_linkKopier link
5
René Nielsen
7. august 2015 kl. 14:27

Så længe der er salg i en model skal den nok blive opdateret, men producenterne har jo en interesse i at få os til at købe nye modeller og ved at holde gamle modeller opdateret saver man jo den gren af – man selv sidder på.

Jeg tror ikke på at der tilføjes ny funktionalitet, ligesom jeg tror at ”buggen” skal have en vis kvalitet og mediebevågenhed før en 2 år gammel model bliver patchet.

  • more_vert
    • insert_linkKopier link
3
Mads Lorenzen
7. august 2015 kl. 10:52

Jeg er i skrivende stund i gang med finde ud af noget mere konkret om den del af udmeldingen, Jarnis. Stay tuned :)

  • more_vert
    • insert_linkKopier link
2
Jarnis Bertelsen
7. august 2015 kl. 10:47

De garanterer ligeledes, at de vil opretholde de løbende opdateringer på deres enheder i op til tre år

De to små ord "op til" gør denne udmelding komplet værdiløs. Derudover kan tre år definderes på mange måder. Er det 3 år fra den sidste mobil forlader en forhandler, 3 år fra den udgår af produktion, 3 år fra den kommer på markedet eller 3 år fra den annonceres af producenten?

Ligesom fødevarer har en "mindst holdbar til" dato burde mobiler have en "mindst opdateret til" dato, så det i det mindste kunne være en slags konkurrenceparameter for den bevidste forbruger.

  • more_vert
    • insert_linkKopier link
4
Nikolaj Bech
7. august 2015 kl. 11:08

Ja, så har de ikke lovet mere end de kan holde. Og gælder det alle modeller?

Jeg har måttet sande at 'Mini' modellen af HTC One (M7) tilsyneladende ikke får Android 5 (modellen er kun 2 år gammel) og jeg er spændt på om den får nogen opdateringer i forbindelse med de sidste ugers sårbarheder. Jeg forventer det ikke :-(

Opdateringer er åbenbart forbeholdt de absolutte top modeller og ikke de 'skrabede' modeller med små skærme til os med små hænder/lommer.

  • more_vert
    • insert_linkKopier link
1
Bent Jensen
7. august 2015 kl. 10:26

Så producenter der laver en indsats kan se at det også kan betale sig på bundlinjen.

Det undre mig ikke at ASUS ikke er at finde her, de har en dårligere service og opdateringen ind selv de ringeste kineser, så hold jer HELT fra dem.

Ellers har jeg været selv glad for min oneplus.net , selv om jeg manual måtte opdater den. Hvis nogen ser efter en ny mobil, og har lidt tålmodighed så prøv 2'erne. Springer selv over, vil prøve at have en mobil i mere end 2 år, for EN gang skyld. Det er ikke lykkes siden jeg skiftet fra nokia, selv om min Nexus 5 var tæt på, men her satte glasset en stopper for det.

Er der ikke en sammenblanding af navne og produktserie i artikkelen :-(

  • more_vert
    • insert_linkKopier link