Ny sårbarhed: Android-apps kan blive skadelige, uden Google opdager det

Illustration: Android Logo
Næsten alle verdens Android-telefoner er ramt af en alvorlig sårbarhed, hvor den kryptografiske nøgle for apps er brudt. Dermed kan en uskyldig applikation gøres ondsindet, uden det efterlader spor.

Beskyttelsen mod ondsindede applikationer på Android-platformen har lidt et knæk. Princippet om at give applikationerne en kryptografisk sikker nøgle, så man altid er sikker på, at der ikke er ændret i koden, er nemlig muligt at omgå. Det skriver sikkerhedsfirmaet Bluebox, som rapporterede til Google om fejlen i februar og nu går ud offentligt og fortæller om problemet.

Ved at udnytte sårbarheden kan en applikation ændres fra at være helt uskyldig, til at få fuld adgang til alt på en Android-telefon. For eksempel kan man kode applikationen om til at aflytte samtaler. Når ændringerne kan ske, uden at Google eller andre kan se forskel på applikationens nøgle, er det svært som forbruger eller virksomhed at beskytte sig mod apps, der ’skifter ham’.

Hvor stort problemet er i praksis, er dog uvist. En hacker kan kode en applikation om, men skal også kunne aflevere den til offerets telefon. Det kan ifølge The Verge ikke ske via Google Play længere, da Google selv har opdateret app-butikkens tjek af applikationernes ægthed.

Sårbarheden virker på alle Android-telefoner siden version 1.6, hvilket svarer til 99 procent af alle verdens snart 900 millioner Android-enheder.

Opdateringer af telefonerne sker via producenterne, og tidsrammen afhænger derfor af, hvor hurtigt disse firmaer får sendt en patch på gaden.

Anbefalingerne fra Bluebox lyder, at man som Android-bruger skal være ekstra opmærksom på, hvilke firmaer, som står bag de apps, man downloader. It-chefer, som har tilladt medarbejdere at medbringe egen telefon til arbejdsbrug, bør bruge lejligheden til at minde om, at alle skal opdatere deres enheder, lyder rådet.

Sårbarheden giver fuld adgang til at styre alt på telefonen, skriver Bluebox, som for at understrege pointen her viser, hvordan det er muligt at omdøbe Android-versionsnummeret på en telefon. Illustration: Bluebox
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christoffer Kjeldgaard

.. Google har patchet Play kan jeg ikke rigtigt se problemet. Ukendte kilder er deaktiveret som default. Du skal stadig aktivt installere alle apps på din telefon. Folk, der henter apps uden om Google Play ved godt de tager risikoen (det minder Android dig nemlig om når du aktiverer ukendte kilder) og derudover giver du google lov til at hente statistik om hvad en app faktisk laver på din telefon selvom du har hentet den udenom google play - Dette er ihvertfald tilfældet i Android 4.2.

Hvor er historien? Implikationsfaktoren er rigtignok stor med den kæmpe mængde telefoner, der ikke er opdaterede; men samtidig også meget usandsynligt, da jeg stærkt tvivler på at ret mange af de ovennævnte telefoner har Ukendte kilder aktiveret.

Hvilket leder mig til næste spørgsmål: Hvorfor er denne typer artikler altid vinklede til at indgyde skræk og uvished i de læsere, der ikke har indsigt i problemstillingen? Hvornår begynder vi at se journalistisk arbejde, der faktisk er informerende, og fortæller læseren noget om hvor stor risikoen er - og hvordan man sikrer sig? (I dette tilfælde er risikoen nærmest ikke eksisterende, så længe man udelukkende installerer apps fra Play, hvilket stort set alle gør).

Det er et hul der af google er blevet håndteret "by the book", og kræver meget af brugeren for at kunne blive udnyttet...

  • 8
  • 1
#3 Martin Storgaard Dieu

Jeg vil give dig ret Christoffer. Havde håbet at der var en IT vinkel i artiklen og ikke en Ekstrabladet vinkel. Noget baggrund kunne være lækkert. Hvilken kryptografisk sikker nøgle er brudt? Hvordan er den brudt? Hvad har Google gjort? Hvad påvirker det mig som Android bruger? Hvis de har hashet koden med en kryptografisk hash funktion, kunne det være godt at vide hvilken.

  • 1
  • 0
#4 Johnnie Hougaard Nielsen

Der synes ikke at være brudt nogen nøgle, men fundet en kode bug. Bluebox skriver:

All Android applications contain cryptographic signatures, which Android uses to determine if the app is legitimate and to verify that the app hasn’t been tampered with or modified. This vulnerability makes it possible to change an application’s code without affecting the cryptographic signature of the application – essentially allowing a malicious author to trick Android into believing the app is unchanged even if it has been.

Det kunne være ubehagelig hvis en app store blev hacket (eller ikke interesserer sig for at checke), men når Google selv checker, er det nok mest i Kina risikoen gælder mere end blot få brugere. Jeg vil gå ud fra at Google er samarbejdsvillig hvis andre app stores ønsker at kunne lave tilsvarende check.

  • 0
  • 0
#5 Jimmy Christiansen

Hvor er historien? Implikationsfaktoren er rigtignok stor med den kæmpe mængde telefoner, der ikke er opdaterede; men samtidig også meget usandsynligt, da jeg stærkt tvivler på at ret mange af de ovennævnte telefoner har Ukendte kilder aktiveret.

Hvilket leder mig til næste spørgsmål: Hvorfor er denne typer artikler altid vinklede til at indgyde skræk og uvished i de læsere, der ikke har indsigt i problemstillingen? Hvornår begynder vi at se journalistisk arbejde, der faktisk er informerende, og fortæller læseren noget om hvor stor risikoen er - og hvordan man sikrer sig?(I dette tilfælde er risikoen nærmest ikke eksisterende, så længe man udelukkende installerer apps fra Play, hvilket stort set alle gør).

Hvordan ved du at "stort set alle" installerer programmer via Play?

Det er der sikkert mange der gør. Men der er formentligt en ikke ubetydelig andel der ikke installerer den vej. Af den simple grund at det kræver et par konti hos google for at gøre det. Både en "play" konto og en google mailadresse: Hvis du vil bruge Google Play på din Android-enhed, skal du have en Google-konto, der er knyttet til enheden. Derudover skal kontoen være knyttet til en Google-e-mailadresse (enten Gmail eller et Google-hostet domæne).

Det er utroligt at de kræver to abonnementer for at bruge "play"-tjenesten. Hvem har ikke allerede en mailadresse i forvejen, og hvorfor kan den ikke bruges?

Så det er bestemt en vigtig nyhed. Hvordan sikrer man sig når man skal have fat i programmer uden en "Play"-konto? For i de tilfælde er det nødvendigt at aktivere "ukendte kilder" for at få programmer, og så er man sårbar.

  • 2
  • 1
#6 s_ mejlhede

Det er der sikkert mange der gør.

Det tror jeg ikke, det er typisk pirat software man installere den vej, og hvis man gør det, er man jo også indforstået med risikoen. Har selv kun, ikke brugt google play en gang, da jeg skulle roote min telefon. Men har ikke rootet siden da jeg ikke har synes det var nødvendigt, samt alle de programmer som jeg har brug for findes gratis på play, eller i så billige en udgave så man vil betale for det. Har kun købt og betalt, swiftkey, alle andre har været med telefon eller har været gratis.

og angående googel konto, ja det er jo ikke nogen der tvinger en til at bruge den til anden ind at gå på play ? Har også en PS3 med en tilhørenden sony konto, men har kun brugt den for at kunne bruge netflix, selv da de gav gratis spil væk, efter de var bleven hacket, gad jeg ikke bruge det. De fleste her har da også en nemkonto, selv om vi ikke bryder os om dem, for at kunne gå i bank og betale.

  • 0
  • 2
#7 Jimmy Christiansen

Det er der sikkert mange der gør.

Det tror jeg ikke, det er typisk pirat software man installere den vej, og hvis man gør det, er man jo også indforstået med risikoen. Har selv kun, ikke brugt google play en gang, da jeg skulle roote min telefon. Men har ikke rootet siden da jeg ikke har synes det var nødvendigt, samt alle de programmer som jeg har brug for findes gratis på play, eller i så billige en udgave så man vil betale for det. Har kun købt og betalt, swiftkey, alle andre har været med telefon eller har været gratis.

og angående googel konto, ja det er jo ikke nogen der tvinger en til at bruge den til anden ind at gå på play ? Har også en PS3 med en tilhørenden sony konto, men har kun brugt den for at kunne bruge netflix, selv da de gav gratis spil væk, efter de var bleven hacket, gad jeg ikke bruge det. De fleste her har da også en nemkonto, selv om vi ikke bryder os om dem, for at kunne gå i bank og betale.

Typisk pirat software? ikke kun, jeg har kun installeret apk'er af gratis programmer den vej. Og jeg er næppe den eneste der gerne vil undgå en google konto, og derfor installerer ad anden vej.

Google konti det er jo ikke kun en konto de vil have man opretter. Men både en "Play"-konto og en e-mailadresse! Hvorfor i alverden skulle det være nødvendigt med sådan et par konti? Andet end at de vil forsøge at sælge os en masse/sælge målrettede reklamer?

Alle andre distributioner bruger repository's hvor man ikke skal oprette en brugerkonto for at hente software. Og der er det også muligt at købe betalingssoftware. Hvor svært er det lige at betale for softwaren med dankort/kreditkort som en hvilken som helst anden netbutik?

Heldigvis er der lys forude, for der er godt gang i at mainline android kernlen. Så på et tidspunkt vil det formentligt blive nemmere at vælge en anden distribution til sin telefon. For eksempel vil det give andre perspektiver til Ubuntu for Android projektet ( skippe hele Android delen ).

Ellers er det bedste alternativ nok lige nu B2G. Jeg har desværre ikke selv haft tid til at prøve B2G. Men valgte min nuværende tlf. bla. for at den er kompatibel med B2G.

En nemkonto er noget helt andet. Lovgivningen kræver alle har en bankkonto, og har man kun en vil den automatisk være nemkonto.

  • 1
  • 0
Log ind eller Opret konto for at kommentere