Symantec: Brugeren er det svage led i Android-sikkerhed

Illustration: Android Logo
Selvom der kun har været få eksempler på ondsindede Android-applikationer, så er det risikabelt, at brugerne kan give applikationer frit spil på telefonen.

Den største sikkerhedsrisiko i mobilstyresystemet Android er brugeren. Sikkerhedsmodellen i Android giver nemlig brugeren mulighed for at give en ondsindet applikation i fåreklæder adgang til at forvolde skade. Det konkluderer sikkerhedsfirmaet Symantec i en ny rapport.

Foreløbig har sikkerhedsfirmaerne råbt 'ulven kommer' i årevis, når det gælder malware til mobiltelefoner, hvor der kun har været ganske få eksempler på ondsindede programmer, der har ramt et større antal brugere. Men Symantec har set nærmere på sikkerheden i Apples iOS og Googles Android, og firmaet påpeger flere problemer med Android.

Læs også: Symantec: Apples sikkerhedsmodel for iPhone er en succes

»Indtil videre har vi kun set en håndfuld ondsindede applikationer til Android, men det står allerede klart, at mange vil være i stand til at gøre skade uden at skulle omgå Androids rettighedssystem. Applikationen skal blot bede om de rettigheder, den har behov for, og i de fleste tilfælde vil brugeren gladelig give den dem i forventning om at komme til at spille et nyt spil,« skriver Symantec i rapporten.

Det, Symantec kritiserer hårdest ved Android, er rettighedsmodellen. Det vil sige, hvilke dele af systemet en applikation kan få lov til at tilgå.

Som udgangspunkt har en Android-applikation ikke rettigheder til at tilgå noget uden for sin egen virtuelle Java-maskine og Linux-procestråd, men brugeren kan give applikationen flere rettigheder.

Når brugeren installerer en Android-applikation, skal han eksempelvis give den tilladelse til at gå på internettet og til at læse oplysninger om telefonen. Det kan virke harmløst, men ifølge Symantec kan en ondsindet applikation på den måde læse telefonens IMEI-nummer og sende det til bagmændene, som kan bruge nummeret til at aktivere en stjålen telefon.

Fordi det er op til brugeren at vurdere, om en applikation skal have udvidede rettigheder, så er det afgørende, hvorvidt brugeren kan stole på applikationerne. Det er imidlertid et andet kritikpunkt ifølge Symantec.

Apple kræver, at alle udviklere bliver verificeret gennem et eksternt bureau, og alle applikationer signeres med en signatur, der udstedes af Apple. På Android Marked bliver udviklerne udelukkende verificeret gennem det kreditkort, som anvendes til at betale tilmeldingsgebyret til Android Marked. Dertil kommer, at Android giver mulighed for, at brugeren kan sige ja til at installere applikationer fra et vilkårligt websted.

»Historien har vist os, at platforme, der lader udviklere frigive deres applikationer anonymt, har oplevet større mængder malware, end de platforme der kræver, at hver applikation bliver signeret digitalt med en bekræftet identitet,« skriver Symantec.

Det er eksempelvis muligt for Android-udviklere at lave deres egne certifikater til applikationerne. Og selvom en applikation bliver distribueret via Android Marked, så er der ifølge Symantec ikke noget, der tyder på, at Google fører en lige så stram sikkerhedskontrol med applikationerne som Apple.

Symantec fremhæver dog, at både Android og iOS forhindrer, at en applikation kan blive installeret, uden brugeren bliver advaret. Dermed er det ikke muligt at lave drive-by-angreb af samme type, som har været udbredt mod Windows XP, og som Microsoft senere implementerede blandt andet rettighedskontrollen User Account Control for at dæmme op for.

Mens Apples iOS begrænser applikationernes adgang til data på enheden, så har Google valgt en mere åben model, som giver udviklerne lidt flere muligheder, men også udgør en risiko for datatyveri. Eksempelvis er data på det eksterne SD-lagermedie ikke krypteret, og hvis en applikation får adgang til at læse data fra hukommelseskortet, så kan den læse alle data.

Google har dog introduceret mulighed for kryptering i Android 3.0 for at stramme op på sikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Morten Sørensen

Det er jo ikke en ny "problemstilling" på Android. Brugeren har altid skulle tænke sig om og rent faktisk læse hvad vedkommende installerer og hvad de har installeret kræver af rettigheder. Det er li'ssom en del af stilen, hvis man kan sige sådan. Sådan er det jo sådan set også på diverse pc'ere og laptops: brugere der ikke tænker sig om og klikker på alt der blinker.

Vil man have et mobilt OS hvor man hjernedødt kan installere apps, så køb en iPhone. Der er alt jo bestemt for én og man kan ikke gå ud af boksen, med mindre man piller ved systemet og dermed garantien. Kan man godt finde ud af at tænke en smule selv, så er Android (heldigvis) det rigtige valg.

  • 6
  • 1
#2 Jimmy Thomsen

Der er tale om simpel ansvarsfraskrivelse. Hvis ens telefon bliver inficeret med virus, kan Google til hver en tid fraskrive sig ansvaret - for man accepterede jo selv, at applikationen fik adgang til System Settings eller lignende.

Det er tåbeligt - ganske simpelt. Jeg er selv Android-bruger, men der er stortset ingen der kan vurdere, om det er rimeligt at et tegneprogram får adgang til "System Settings" eller hvad det måtte hedde. Så med mindre man vil kigge i kildekoden til hver applikation, tjener denne mekanisme intet andet formål, end at Google kan vaske hænder.

Jeg skal have set på Amazons App Store - her bliver applikationerne screenet som til iPhones App Store. Hvis Amazon har gjort det bedre, bliver jeg på Android. Hvis ikke, skifter jeg til iPhone. Der er alt for meget skidt ude til Android.

  • 2
  • 2
Log ind eller Opret konto for at kommentere