Sårbarhed i Android: Webside kan stjæle data fra SD-kortet

Et sikkerhedshul på Android-telefoner gør det muligt for en hacker at hente data fra brugerens hukommelseskort. Google arbejder på en løsning, men det vil tage lang tid at distribuere den.

I takt med at mobiltelefoner bliver små computere, stiger chancen for sikkerhedsproblemer også. Det viser sig nu i praksis med et sikkerhedshul i mobilstyresystemet Android.

Besøger en Android-ejer en webside med skadelig kode, der udnytter hullet, kan hackeren bag få adgang til data på hukommelseskortet i telefonen. Det skriver sikkerhedsforskeren Thomas Cannon i et blogindlæg.

Angrebskoden kan dog kun køre inden for 'sandkassen' i Android, altså et lukket område i styresystemet, så de centrale filer i Android er ikke tilgængelige for en hacker. Af samme grund kan hackeren i store træk kun tilgå filer på SD-kortet, og kun ved at kende det præcise filnavn.

En hel del data vil dog ligge i mapper og filnavne, som er nemme for en hacker at gætte. For eksempel vil billeder taget med telefonen have gennemskuelige filnavne, og applikationer gemmer også tit data i mapper med standard-navne.

Angrebet kan ske uden brugeren opdager det, da Android tillader download af filer, uden at brugeren bliver spurgt. Med lidt Javascript-kode og nogle redirects kan en hacker få sendt kode til telefonen, kørt denne kode og få uploadet filer fra telefonen, uden brugeren opdager det. Kun oversigten over downloads afslører, at alt ikke er, som det skal være.

Thomas Cannon kontaktede Google den 19. november med sin opdagelse, og Android-afdelingen svarede i løbet af 20 minutter og er gået i gang med at finde en løsning. Men det store problem med Android er, at alle producenter af Android-telefoner laver deres egne tilpasninger. Derfor kan der gå lang tid før telefonerne bliver opdateret.

I mellemtiden anbefaler sikkerhedsforskeren, at man er opmærksom på problemet og eventuelt skifter til browseren Opera, eller en anden browser, der ikke indgår som standard i Android. Browsere fra tredjeparts-leverandører kan nemlig opdateres med det samme via Android Market.

Man kan også slå Javascript fra, eller fjerne SD-kortet, hvis man er nervøs for misbrug, skriver han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jakob Damkjær

"Men det store problem med Android er, at alle producenter af Android-telefoner laver deres egne tilpasninger. Derfor kan der gå lang tid før telefonerne bliver opdateret."

og med "lang tid" mener de "til og med aldrig"... enjoy the fragmentation.

Hvilke versioner af android er påvirket ?

  • 0
  • 0
#2 Carsten Olsen

Godt gået af ham.

M.H.T. opdatering (af patch) i div. device, så tror jeg stadig Google har fat i den lange ende. (Hvis Google kan se at forhandlinger med f.eks. HTC ikke føre til noget (på kort sigt) tror jeg de levere et patched OS direkte til kunder (Det vi i dag kalder "cowboy tricks".)

Google kan vel også bare leverer en ny "browser-app" der er "patchet". (f.eks. via "Android App Store" i den konkrete sag.

  • 0
  • 0
#3 Jens Schumacher

Browseren er ikke splittet ud i en grad så den kan opdateres seperat fra resten af systemet. Især ikke på ældre enheder som kører android 1.5-2.0. På 2.1 blev det muligt at opdatere visse af de indbyggede apps og nogle flere med 2.2 Men jeg mener absolut ikke det er en mulighed at opdatere browseren på nuværende versioner af android gennem android app store.

Og nej... Med mindre google vil til at udnytte ninja trix og sikkerheds huller (som når man skal roote sin telefon) så kan de altså ikke rulle en system opdatering ud til en HTC telefon. Du får ikke lov til at skrive så meget som en eneste byte til system med mindre den kode du kommer med er signeret digitalt af HTC....

  • 0
  • 0
#4 Jesper Poulsen

og med "lang tid" mener de "til og med aldrig"... enjoy the fragmentation.

Apple's ensrettede arrogance giver ikke sikkerhedsproblemer?

På Android skal du kende filens navn for at kunne læse den.

http://securityevaluators.com/content/case-studies/iphone//

Når man tænker på alle de poptøser der render rundt med iPhones (de kan ikke finde ud af at opdatere deres apparat), så er Android vist ikke det største sikkerhedsproblem blandt smartphones.

  • 0
  • 0
#5 Piotr Czarny

Det er nemlig rigtigt. Google har givet producenterne og operatørerne frihed til at rette software til og installere deres egne versioner og de har forvaltet denne frihed ringe.

HTC har f.eks valgt ikke at gøre mere for ejere af håndsæt, som er blot 1-1½ år gamle og kører android 1.5 eller 1.6. De blevet EOL'et i stilhed.

Lige nu går det lige, fordi mængden af disse håndsæt ikke er ret stor, men når der om et halvt år bliver fundet sikkerhedshuller i de nuværende versioner af Android, er det pludselig mange flere, som kan blive ramt.

Jeg vil ikke sige, at lukkethed og dikatur er vejen frem, men Google og producenterne bør virkelig sætte sig sammen og gøre noget ved den manglende fælles sikkerheds-model.

  • 0
  • 0
#6 Anders Sørensen

Mener google har sagt at de har lavet en design fejl ved at låse google (konto), browser (og noget mere) med deres kernel. De er ved at arbejde på at fjerne det således at det bliver en app fra deres app marked. Det vil gøre det er nemmere at opdatere og uafhængig af teleoperatørne. Umiddelbart er det en stor sikkerhedsfejl, men synes stadig at google er kommet langt på kort tid. Når man ser på Apples produkter dukker der stadig gang på gang sikkerhedsfejl op selvom deres mobil os har været på marked meget længere. Men nu når det er sagt, synes jeg det er en stor sikkerhedsfejl, og håber den bliver rettet hurtigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere