Beskyttelsen mod ondsindede applikationer på Android-platformen har lidt et knæk. Princippet om at give applikationerne en kryptografisk sikker nøgle, så man altid er sikker på, at der ikke er ændret i koden, er nemlig muligt at omgå. Det skriver sikkerhedsfirmaet Bluebox, som rapporterede til Google om fejlen i februar og nu går ud offentligt og fortæller om problemet.
Ved at udnytte sårbarheden kan en applikation ændres fra at være helt uskyldig, til at få fuld adgang til alt på en Android-telefon. For eksempel kan man kode applikationen om til at aflytte samtaler. Når ændringerne kan ske, uden at Google eller andre kan se forskel på applikationens nøgle, er det svært som forbruger eller virksomhed at beskytte sig mod apps, der ’skifter ham’.
Hvor stort problemet er i praksis, er dog uvist. En hacker kan kode en applikation om, men skal også kunne aflevere den til offerets telefon. Det kan ifølge The Verge ikke ske via Google Play længere, da Google selv har opdateret app-butikkens tjek af applikationernes ægthed.
Sårbarheden virker på alle Android-telefoner siden version 1.6, hvilket svarer til 99 procent af alle verdens snart 900 millioner Android-enheder.
Opdateringer af telefonerne sker via producenterne, og tidsrammen afhænger derfor af, hvor hurtigt disse firmaer får sendt en patch på gaden.
Anbefalingerne fra Bluebox lyder, at man som Android-bruger skal være ekstra opmærksom på, hvilke firmaer, som står bag de apps, man downloader. It-chefer, som har tilladt medarbejdere at medbringe egen telefon til arbejdsbrug, bør bruge lejligheden til at minde om, at alle skal opdatere deres enheder, lyder rådet.
