Op mod 900 millioner Android-telefoner kan være ramt af en sikkerhedsbrist

En alvorlig sikkerhedsbrist er blevet fundet i en software, der sidder i flere hundrede millioner Android-telefoner. Fejlen kan give hackere fuld adgang til telefonens data.

En fejl er blevet opdaget i software fra virksomheden Qualcomm, som har leveret processor-chips til op mod 900 millioner Android-telefoner og -tablets. Fejlen gør det forholdsvis enkelt for hackere at tilkæmpe sig fuld kontrol over telefonen og dermed også over al data.

Det skriver flere medier, blandt andet ZDNet og BBC.

Fejlen blev opdaget af sikkerhedsvirksomheden Checkpoint, som præsenterede sin alvorlige opdagelse på en konference søndag.

Læs også: Google lukker stribevis af Qualcomm-specifikke sårbarheder på Nexus-telefoner

For at få adgang til telefonen skal en hacker snyde telefonens ejer til at installere en ondsindet software, typisk i form af en app, som modsat det meste malware ikke kræver nogle specielle tilladelser - altså skal appen installeres uden om den officielle Google Play-butik. De fleste Android-telefoner tillader ikke installationer af tredjeparts-apps uden for Google Play, men det er tidligere lykkedes hackere at få installeret malware udenom, skriver ZDNet.

Herefter har hackeren adgang til alt lige fra data til kameraet og mikrofonen.

Læs også: Malware-angreb invaderer Google Play

»Jeg er ret overbevist om, at vi kommer til at se disse sårbarheder blive udnyttet de næste tre til fire måneder,« siger Michael Shaulov, chef for mobility product management hos Checkpoint, ifølge BBC.

»Det er altid et ræs om, hvorvidt det er de gode eller de onde, der finder fejlen først.«

En talsmand fra Qualcomm har ifølge ZDNet udtalt, at de har rettet alle fejl, og at de fleste opdateringer er blevet sendt ud til kunder, partnere og open source-verdenen. Dog er det ikke sikkert, om alle opdateringerne er blevet frigivet endnu.

Læs også: Ny smartphone hævder at være sikker over for både hackere, mursten og vand

Checkpoint har udsendt en gratis app, der hedder QuadRooter Scanner, som kan scanne din telefon for sårbarheder ved at se, om der findes opdateringer, du endnu mangler at installere.

Derudover opfordrer Michael Shaulov folk til udelukkende at downloade apps fra den officielle Google Play-butik.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Poul-Henning Kamp Blogger

Prøv lige at tænke over det: Næsten en milliard dimser har en alvorlig defekt og der er ingen der løfter et øjenbryn.

Ingen politikere der kalder producenterne til høring, ingen forbrugerorganisationer der kræver erstatning og straf, ingen firmaer der kaster dimserne ud af vinduet...

En milliard dimser med ladeportshuller er åbenbart helt normalt...

Men hvis nogle få campingvogne har et problem med udluftning til køleskabet:

https://www.sik.dk/Global/Presse/Nyheder-fra-Sikkerhedsstyrelsen/Risiko-...

  • 13
  • 3
#2 Peter Christiansen

"For at få adgang til telefonen skal en hacker snyde telefonens ejer til at installere en ondsindet software - typisk i form af en app "

Ja man skal installere en applikation på sin telefon først, hvilket man ikke gør hvis man ikke ved hvor den er fra, eller hvad den foretager sig.

Det er ikke noget ladeports hul PHK, det er et hul, granted, men ikke et ladeports hul. Hvis man kunne inficere telefonen uden brugerens medvirken, så havde det været et ladeports hul.

Og til skribenten, det var på DEF CON, fejlen blev præsenteret.

  • 10
  • 0
#4 Peter Christiansen

En verden hvor man ikke overreagerer når der er fundet en driver fejl. Det er jo ikke specielt for android at når man installerer en app / program, at man ikke bare installere hvad som helst.

Det er det der hele tiden bliver gjort ved phishing mails på f.eks windows, man håber på at det svageste led , brugeren, er så flink at klikke på det vedhæftede program og installere det.

Patch driveren og kom videre og uddan brugerne til ikke at installere programmer / apps med mindre de har tillid til udvikleren.

  • 8
  • 0
#5 Kim Rene Jensen

We appreciate Check Point's research as it helps improve the safety of the broader mobile ecosystem. Android devices with our most recent security patch level are already protected against three of these four vulnerabilities. The fourth vulnerability, CVE-2016-5340, will be addressed in an upcoming Android security bulletin, though Android partners can take action sooner by referencing the public patch Qualcomm has provided. Exploitation of these issues depends on users also downloading and installing a malicious application. Our Verify Apps and SafetyNet protections help identify, block, and remove applications that exploit vulnerabilities like these.

  • 7
  • 0
#6 Simon Rigét

Ja man skal installere en applikation på sin telefon først, hvilket man ikke gør hvis man ikke ved hvor den er fra, eller hvad den foretager sig.

Fejl i design af processoren gøre at man med mere uskyldige hack, kan eskalere sine rettigheder, til at få fuld kontrol med telefonen. I principper kan din ynglings app overtage din telefon; lytte og se med i rummet, læse dine mails, passwords osv.

Du har måske tillid til at din leverandøren af din ynglings app, ikke udnytter det. Lidt naivt, men ok, hvis du ikke har noget imod at efterretningstjenester mm. lytter med. men "Ladeport" er efter min mening et mildt udtryk for denne fadæse.

Tror den manglende reaktion skyldes manglende forståelse af konsekvenserne. Fase 2 bliver sikkert en eller anden overreaktion med stormtropper og lange fængselsstraffe til en begavet teanagere der demonstrerer hvordan det gøres med facebook :c)

  • 5
  • 0
#9 Peter Christiansen

Du har måske tillid til at din leverandøren af din ynglings app, ikke udnytter det. Lidt naivt, men ok, hvis du ikke har noget imod at efterretningstjenester mm. lytter med.

Jeg taler generelt om at folk ikke skal downloade / installere hvad som helst, og selvfølgelig vil en app leverandør med 1mill + downloads ikke sætte deres indtjening over styr, bare for at putte en exploit ind. Det ville være naivt at tro at de ville gøre dette.

Folk der putter exploits i deres programmer er folk der ikke i forvejen har success som udviklere og ikke har noget at miste ved at blive opdaget.

Lidt af et spring med "men ok, hvis du ikke har noget imod at efterretningstjenester mm. lytter med", det har ikke noget med fejlen at gøre og du springer til en konklusion som du ikke kan slutte på baggrund af mit indlæg.

  • 1
  • 0
#10 Bent Jensen

Jeg taler generelt om at folk ikke skal downloade / installere hvad som helst, og selvfølgelig vil en app leverandør med 1mill + downloads ikke sætte deres indtjening over styr, bare for at putte en exploit ind. Det ville være naivt at tro at de ville gøre dette.

Hvis ikke de bliver betalt og/eller tvunget af det deres lands myndigheder, også til at holde kæft med det. Hvis ikke det er ledelsen, så måske en placeret eller betalt medarbejder. Hvis ikke de 2 måder virker, så et indbrud som ved en leverandør af SIM kort som i Holland. Ellers som med Lenovo sagen, en "fejl" ved en underleverandør.

Lige nu er Lenovo vel det bedste eksempel, på hele paletten. Så man kan desværre ikke stole på nogen telefoner, eller pc-er. Hvis man vil være helt sikkert.

  • 1
  • 0
#13 Peter Christiansen

Der er ikke malware i selve banner reklamerne, de promoverer sider hvor man kan downloade apps, som så indeholder malware.

Ja der er onde reklamer i diverse apps, da de bliver serveret af diverse reklame netværk, men det kræver stadig at brugeren er letsindig nok at installere de apps som et klik på et banner fører til.

Hvis det ikke er google play apps, bliver man advaret om at appen ikke er godkendt (hvis man ikke har taget denne "feature" fra). Det er ikke anderledes end hvordan "Malvertisment" hele tiden har fungeret, med eller uden denne driver problematik.

At man i denne sag så får downloadet en app hvor den ikke kræver nogle rettigheder, ændrer ikke ved at man ikke skal downloade programmer fra ikke officielle app stores man ikke stoler på og slet ikke fra random sites man får adgang til ved at klikke på et lokkende reklame link.

  • 0
  • 3
#14 Jesper Lund Stocholm Blogger

At man i denne sag så får downloadet en app hvor den ikke kræver nogle rettigheder, ændrer ikke ved at man ikke skal downloade programmer fra ikke officielle app stores man ikke stoler på og slet ikke fra random sites man får adgang til ved at klikke på et lokkende reklame link.

Det forstår jeg ikke pointen i.

Der har igennem tiden været en del "priviledge excalation"-exploits til bla. Windows, hvor et program kunne få lov til mere end det burde - givet brugerens rettigheder.

Det er naturligvis et problem for platformen - og kan ikke bare afskrives med hovskisnovski-kommentarer som "Brugerne kan jo bare lade være med at klikke på filer, der ikke er korrekt signeret".

Der er ikke malware i selve banner reklamerne, de promoverer sider hvor man kan downloade apps, som så indeholder malware. (...) Ja der er onde reklamer i diverse apps, da de bliver serveret af diverse reklame netværk, men det kræver stadig at brugeren er letsindig nok at installere de apps som et klik på et banner fører til.

Det er faktuelt forkert. De inficerede banner ads indholdt JavaSript-kode, der ledte efter sårbarheder i browseren og/eller i plug-ins og installerede derefter fx trojaner på klienten.

  • 2
  • 0
#15 Marcin Brodzikowski

Det kan godt være de fleste i lille Danmark holder sig til Play store og Apple store, men ude i verden er det helt anderledes. Folk gøre alt for ikke at betale for de app's de bruger. Især i Asien hvor der finde utallige "kopi" Stores som man kan hente apps fra, på samme måde som de originale. Det er præcist der alt malware florere og vil invadere milioner af telefoner med endnu et hul i Android systemet.

  • 1
  • 0
Log ind eller Opret konto for at kommentere