Sikkerhedsforskere: Millioner af Android-enheder har indbyggede sårbarheder

Illustration: MI grafik
Mobilproducenterne LG, Asus, ZTE og Essential har meldt ud, at de adresserer nyligt offentliggjorte sårbarheder gennem opdateringer.

Android-enheder fra blandt andet Asus, ZTE, LG og Essential har indbyggede sårbarheder i firmwaren, viser forskning støttet af amerikanske Department of Homeland Security (DHS).

Sikkerhedsfirmaet Kryptowire har fundet sårbarheder i 10 forskellige Android-modeller, som ifølge deres analyse skyldes det åbne Android-styresystem, der lader tredjeparter modificere kode, som de vil. Det skriver Wired.

»Problemet forsvinder ikke, fordi en masse folk i forsyningskæden gerne vil tilføje deres egne applikationer, tilpasse og tilføje deres egen kode. Det øger angrebsfladen og sandsynligheden for software-fejl,« siger administrerende direktør for Kryptowire Angelos Stavrou.

Både Asus, ZTE, LG og Essential har lovet at rette fejlene gennem opdateringer.

Læs også: Intimsfæren truet? Samsung telefoner sender selv billeder til tilfældige kontakter

Sårbarhederne muliggør forskellige slags angreb af varierende alvorlighed, skriver Wired. Dog har de alle det til fælles, at de kræver, at brugeren selv installerer en ondsindet app. Sikkerhedsfejlene betyder dog, at appen ikke behøver at bede om adgang til for eksempel opkald eller SMS'er for at tilgå dem.

En af modellerne er Asus Zenfone V Live, som ifølge Kryptowire er sårbar for en komplet systemovertagelse inklusive screenshots og videooptagelse af brugerens skærm, læsning og modificering af SMS-beskeder samt foretagelse af opkald. Ligesom de andre udbydere lover Asus at rette fejlen.

»Asus er bekendt med de nylige sikkerhedsbekymringer vedrørende ZenFone og arbejder flittigt og hurtigt for at løse dem med software-opdateringer, som vil blive udrullet over-the-air til vores ZenFone-brugere. Asus er engageret i vores brugeres sikkerhed og privatliv, og vi opfordrer kraftigt alle brugere at opdatere til vores seneste ZenFone-software for at opnå en sikker brugeroplevelse,« siger Asus ifølge Wired i en udtalelse.

Læs også: Linux-veteran vil frigøre Android fra Google

Den mest populære model i Kryptowires rapport er LG G6. Her vil en ondsindet app kunne tilgå logcat-loggen, der samler systembeskeder og kan indeholde følsomme oplysninger, samt afskære brugerens adgang til enheden. LG siger ifølge Wired, at »de fleste af de oplyste sårbarheder allerede er blevet patchet, eller er inkluderet i kommende planlagte opdateringer, der ikke er forbundet med sikkerhedsrisiciene«.

Essential og ZTE har ligeledes meldt ud, at de henholdsvis har og er ved at patche sikkerhedsfejlene.

Forbrugere med de sårbare enheder har selv ingen mulighed for at løse problemet, siger Angelos Stavrou.

»Det er så dybt i systemet, at forbrugeren måske ikke vil kunne se, at fejlen er der. Og selv hvis de kunne, så kan de ikke gøre andet end at vente på producenten eller mobilnetoperatører, eller hvem end der opdaterer firmwaren,« siger han.

Læs også: Forskere: Meltdown-sårbarhed kan også udnyttes mod Samsung-mobiler

Offentliggørelsen af fundene er ifølge Wired kun den første i en længere række, som Kryptowire planlægger, når de relevante producenter har fået tilstrækkelig tid til at reagere.

Udvikleren af Android-styresystemet, Google, har reageret på fundene med taknemmelighed.

»Vi vil gerne takke sikkerhedsforskerne ved Kryptowire for deres indsats med at forstærke sikkerheden i Android-økosystemet. De problemer, som de har skitseret, påvirker ikke selve styresystemet, mentredjepartskode og applikationer på enheder,« lyder en udtalelse fra en talsperson for Google

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize