Stagefright-mareridtet fortsætter: Angrebskoden er blevet offentliggjort

10. september 2015 kl. 14:1012
Mens Google og de mange producenter af Android-telefoner endnu kæmper for at få lukket de sidste sikkerhedshuller, er angrebskoden blevet offentliggjort.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Sikkerhedsfirmaet Zimperium har netop offentliggjort nogle af de Stagefright-koder, de brugte til at kompromittere Android-telefoner med. Det sker på trods af utallige opfordringer fra Google om at holde på dem lidt endnu, idet der siden er blevet ved med at dukke sårbarheder op i Android.

Da Stagefright-hullet blev opdaget, truede det potentielt set sikkerheden på en lille milliard Android-telefoner. Siden da er den ene Android-patch bliver rullet ud efter den anden, ofte under massiv kritik af forbrugere og sikkerhedseksperter, der mener, opdateringerne kom for langsomt.

Og der er lang vej for en opdatering, der skal lukke et kritisk hul i en Android-telefons sikkerhed. Først skal fejlen opdages, hvorefter Google lukker hullet og sender en Android-patch ud. Derefter skal hver enkelt producent opdatere patchen på deres telefoner. En proces, der kan tage måneder, medmindre ekstra opdateringer udrulles hos producenterne, hvilket koster penge og irriterer forbrugeren.

Ud over at give angriberen root-adgang og dermed praktisk talt fuld kontrol med telefonen, kan koden give adgang til mobilens optageudstyr og kamera. Dermed kan man bruge telefonen til at aflytte og overvåge ejeren af telefonen.

Normal procedure at offentliggøre svagheder

Ifølge sikkerhedskonsulent hos CSIS Jan Kaastrup er det almindelig best practice at offentliggøre sårbarheder.

Artiklen fortsætter efter annoncen

»Som det første bør man som sikkerhedsfirma informere producenten, og derefter går man så ud og offentliggør sikkerhedsbristet,« siger Jan Kaastrup, der tilføjer, at man bør give producenten en rimelig frist for at lukke hullet, inden instruktionen i, hvordan bristet fungerer rent teknisk, kommer ud.

»Det afhænger meget af den enkelte situation, og alt afhængigt af kompleksiteten kan der gå mellem 3-4 uger og et halvt år, før man vælger at offentliggøre bristet,« siger Jan Kaastrup, der også fortæller, at der nogle gange går alt for længe, før en virksomhed lukker et hul. Og at man derfor - for forbrugernes skyld - vælger at offentliggøre koderne.

Alle producenterne af Nexus-telefonerne og Samsung, LG og Sony har lovet at lave månedlige opdateringer, hvilket Jan Kaastrup vurderer til at være en udmærket opdateringskadence, hvis man som producent er åben for ekstra patches i tilfælde af ekstraordinære sikkerhedstrusler.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
11. september 2015 kl. 09:08

PS! Der er nogen der har glemt at tele operatørene på tværs af planeten også skal lege med...

Hvorfor? OTA på Android forudsætter du er tilkoblet WiFi.

Google ber om mere tid fordi sårbarheden er mere kompleks at fikse end man først regnede med

Stagefright-problemet er ikke SÅ komplekst at det ikke kunne løses indenfor tidsfristen. Det handler nærmere om at Google over de sidste par år har udhulet Android til istedet at fokusere på deres egne closed-source alternativer. Hangouts (SMS), Google Dialer (Phone) og Chrome (browser).

Zimperium havde ved offentliggørelsen af stagefright allerede en patch til deres egen Android ROM. Cyanogenmod har ligeledes frigivet en patch.

Stagefright-biblioteket er også plaget af unødig kompleksitet. Det er gået fra at være et bibliotek til håndtering af offline medieafspilning til at varetage loading af medie-objekter på hjemmesider, MMS og 3rd party Android apps medieafspilningsopgaver (og meget andet).

Det bibliotek har længe trængt til at blive dekomponeret og splittet op i mindre komplekse del-biblioteker. Det må tænkes at være blandt overvejelserne hos Google.

11
11. september 2015 kl. 01:32

"Det sker på trods af utallige opfordringer fra Google om at holde på dem lidt endnu, idet der siden er blevet ved med at dukke sårbarheder op i Android."

Nåååå så når Google ber om mere tid fordi sårbarheden er mere kompleks at fikse end man først regnede med så skal de ha mere tid... Men når det samme er tilfældet for andre firmaer så er det bare ærgerligt...

Tiden løb ud og i nåede det ikke... Måske kan det lære Google at være lidt mere samarbejdsvilling på den front i fremtiden... Men lige nu må man sige at karma er en kælling, lev med det.

PS! Der er nogen der har glemt at tele operatørene på tværs af planeten også skal lege med...

10
10. september 2015 kl. 23:32

Min gode gamle HTC One M7 har fået en firmware upgrade specielt mod Stagefright. Det er faktisk flere uger siden.

9
10. september 2015 kl. 21:55

Okay, nu aner jeg intet om Android, men jeg formoder at der selve firmwaren som skal opdateres da hulet finder der og ikke andre steder. For jeg kunne forestille mig at det er derfor der ikke er ret mange opdateringer til android baserede mobil telefoner.

8
10. september 2015 kl. 17:35

Det er ikke gratis at opdaterer ”gamle” modeller, men Apple gør det typisk i 3-4 år efter lancering og Blackberry typisk i 2 år efter lancering. Android typisk i 6-9 måneder efter lancering.

Selvfølgelig er det ikke gratis - men det er meget, meget billigt, forudsat at der er en vilje til at anvende en anden fremgangsmåde end i dag. Android-producenterne betaler allerede Google for at udvikle systemet og patches gennem medlemskab af Open Handset Alliance - det er udelukkende distribution af patches, hvilket stort set er gratis eller peanuts for virksomheder på størrelse med Samsung.

Der er også andre gældendee incitamenter end pris. Telefonproducenterne har bevidst valgt at opdateringer kun kommer i en opdateringsstrøm uanset om det er nye features eller sikkerhedspatches.

Apple leverer ganske rigtigt opdateringer, men det er ofte tvivlsomt om hardwaren kan klare de nye features - hvor hardwaren i øvrigt er bevidst underdimensioneret både for at spare penge, men i den grad også for at få kunderne til at opgradere fordi enheden ikke kan køre den seneste patch tilfredsstillende.

  • Det er ikke tilfældet ved nogen af Android enhederne. Selv ældgamle telefoner kan køre Android 5.0.

Problemet ved android er den kæmpemæssige mængde af legacy-enheder, hvor drivere til f. eks. radio og kamera er closed source. Mange af disse drivere bliver enten reverse-engineered af eksempelvis CM-holdet for at sikre at enhederne kan opdateres.

  • Valgte man, som i det øvrige Linux miljø, at lave en adskillelse mellem sikkerhedsopdateringer og funktionsopdateringer var man allerede langt. Distrubution kan klares via P2P når enheden er på WiFi og tilsat oplader. Done.
7
10. september 2015 kl. 17:33

Altså medmindre man køber en nexus-model.

6
10. september 2015 kl. 15:06

Jeg skal lige starte med at sige at jeg bruger Blackberry, men når man køber en Android telefon, så er der altså en grund til at den er billigere end en iphone.

Det er ikke gratis at opdaterer ”gamle” modeller, men Apple gør det typisk i 3-4 år efter lancering og Blackberry typisk i 2 år efter lancering. Android typisk i 6-9 måneder efter lancering.

Det skal man huske når man køber mobiletelefonen, at der er en grund til at den er billigere, fordi den efterfølgende service er dårligere ved Android telefoner

5
10. september 2015 kl. 15:02

Selv ikke alle Googles Nexus mobiler er ikke sikre endnu. Jf denne artikel fra Ars Technica, så er der flere typer af angribsmuligheder via Stagefright: http://arstechnica.com/security/2015/09/attack-code-exploiting-androids-critical-stagefright-bugs-is-now-public/Fra kilden: "a Nexus 5 phone running all available patches remained wide open at the time this post was being prepared" Det gælder dog tilsyneladende ikke andre mobiler på Android 5.0 og opefter

3
Journalist -
10. september 2015 kl. 14:47
Journalist

Hvor gammel er din telefon (hvornår købte du den), og præcis hvilken model har du?

2
10. september 2015 kl. 14:25

Du skal nok regne med at det kun er rene google telefoner der får en patch ingen for overskuelig tid. Samt måske bruger af CM.

Producenter ser dig heller angrebet, og stå med en ødelagt telefon, så du skal købe en ny. End at bruge tid og penge på at opdatere gamle modeller.

Det stopper kun hvis man kan sagsøge dem for meget mere ind de spare, eller man vælger en telefon for en producent der tager sikkerhed og brugervenlighed alvorligt. Har ikke fundet nogen som er helt gode til det,

Men holdt dig helt fra ASUS, af de store, de har IGEN service.

1
10. september 2015 kl. 14:20

Min Samsung S5 har ikke fået en opdatering i flere måneder. Så hvornår gælder dette udsagn fra?