Ondsindet sms kan ødelægge Windows Phone 7

En sårbarhed i Windows Phone 7-styresystemet gør det muligt at lamme en telefon ved at sende en sms til den. Microsoft arbejder på en løsning.

En sms kan være nok til at få sat en kæp i hjulet på Windows Phone 7-styresystemet.

Det bekræfter Microsoft nu, efter at it-mediet Winrumors.com afslørede sårbarheden.

Modtager en Windows Phone-telefon en sms, der rummer de ondsindede koder, vil telefonen genstarte, og den centrale beskedcentral på telefonen vil blive ubrugelig. Sårbarheden findes i alle versioner af styresystemet, og den kan også udnyttes via beskeder over Facebook eller Windows Live Messenger.

Microsoft arbejder på en opdatering, der skal løse problemet. Den kan sendes til telefonerne over the air, hvis Microsoft finder det nødvendigt. Tidligere opdateringer til Windows Phone 7 er sket via Zune på en almindelig computer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (41)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Venligst Slet Min Bruger

De skal jo have det med i alle deres produkter ;)

Jeg kender ikke andre af deres produkter der crasher pga. en deform SMS. Det var selvfølgelig ikke det du mente, men kom nu videre. Al software har bugs - også iOS og Android.

Nå, men nok tid spildt på det;
Det er en supertræls fejl. Til gengæld må man vel rose MS for rent faktisk at erkende fejlen. Mon ikke der kommer et bugfix OTA om en uges tid?

  • 5
  • 14
Eskild Nielsen

Det er en supertræls fejl.

Nej, det er det ikke.

Det er et tegn på et helt igennem tåbeligt og usikkert design, fra et firma der stadig ikke har fattet de mest grundlæggende principper for computer og netværkssikkerhed.

Det er netop en supertræls fejl, fordi det er et tegn på ....

  • 0
  • 1
Svend Eriksen

Synes du ikke, at vi skal lade den lille håndfuld WP7 entusiaster være i fred ? De har sikkert deres at slås med! ;-)


Faktisk ikke. I modsætning til Android skal man jo ikke bruge tid på at nørkle og pille, frigøre hukommelse, roote, og desperat prøve at finde et godt UI.

Alle OS har deres fejl, og medierne har været fyldt med Android sårbarheder de sidste måneder, så de sidste til at pege fingre bør være droid-geeks. :)

  • 4
  • 18
Venligst Slet Min Bruger

Nej, det er det ikke.

Det er et tegn på et helt igennem tåbeligt og usikkert design, fra et firma der stadig ikke har fattet de mest grundlæggende principper for computer og netværkssikkerhed.

Åh ja. Så er alt ved det gamle. Flamebaits fra Hr. Kamp og ligegyldige provokationer fra hans følge. Det er supergod underholdning, så bliv endelig ved :)

Det er jo tydeligt for enhver, at WP på alle måder er mere usikkert end Android, selvom det er Android, der konstant er i vælten pga. bugs, exploits og andet.
Og når jeres argument altid lyder "Det har intet med udbredelse at gøre, det er fordi Windows er mest usikkert!!1" - så må der jo gælde præcist samme argument her, hvis i mener i har ret. ;)
edit:
At Android er mere usikkert end WP alene baseret på mængden af exploits, forstås.

  • 6
  • 8
Christian Wittrock

Der er ofte meget lidt saglighed i argumentationen hvorfor et system er bedre end et andet. I 9 ud af 10 gange er det kun den personlige personlige holdning, som kommer til udtryk, fra personer som efter alt at dømme ikke er så kyndige, som de gerne vil give udtryk for.

Mit første møde med Android var:
+ god browser
+ god UI respons
- tab af netværksforbindelse
- reset
- var nogle gange nødt til at tage batteriet ud for at få telefonen til at virke igen.

Mht. MS og Windows og Windows Phone, så skal man altid huske på at MS laver OS'er til almindelige mennesker. Derfor arbejder de meget på "default open" design i stedet for "default closed". Det siger jo sig selv, at hvis Hr. og Fru Jensen skulle tage en uddannelse for at kunne finde ud af at installere et OS, og få det op og køre, så ville det være et stort problem. Det er jo meget lettere at lave et sikkert OS, hvis en bruger selv skal sørge for at åbne op for de ting som han/hun ønsker at bruge.

Og apropos WP, så har jeg også hørt at Nokia's nye telefoner er dårligere end andre, fordi processoren kun er en single-core :D. Det er da lige til et godt grin :D. Enhver kyndig person ved, det kommer an på hvordan platformen (HW+SW) fungerer i praksis. En effektiv og velkonstrueret platform på en single core processor kan sparke r** i forhold til en dårlig på en multiple-core processor.

Android er en platform som har sårbarheder ligesom WP. Og hvis ikke Apple holdt deres system i så hård hånd som de gør, så ville der også åbenbare sig flere sårbarheder her.

Og det gælder stadigvæk at omtanke er alfa og omega. Så se på dine behov og prøv de forskellige platforme, og vælg den der bedst passer til dine behov :-)

  • 4
  • 3
Venligst Slet Min Bruger

Min Android-erfaring er primært baseret på 1.6, så jeg skal nok passe på med at sige en masse grimme ting om det. Efter hvad jeg har hørt, så er det blevet meget meget bedre siden da.

Men ja, ellers enig i det du skriver. Debatten bliver meget hurtig skinger, når det er Apple og MS, der er på tapetet.

WP er slet ikke fejlfri, langt fra, jeg har masser af ting jeg gerne så rettet. Denne fejl er uden sammenligning den værste jeg har hørt om. Og hvis MS ikke får patchet den indenfor rimelig tid, så er jeg med på at gi' dem en god sviner. Men det klinger lidt hult, når visse personager udtaler sig uden erfaring med platformen eller uden viden om, hvordan systemet virker bag facaden.

  • 5
  • 0
Torben Frandsen

Det er et tegn på et helt igennem tåbeligt og usikkert design, fra et firma der stadig ikke har fattet de mest grundlæggende principper for computer og netværkssikkerhed.

Hva' så, gamle jas? Du lader da ikke din kærlighed til fakta overskygge af dit had til Microsoft? :-)

  • 5
  • 3
Peter Eriksen

Men det klinger lidt hult, når visse personager udtaler sig uden erfaring med platformen eller uden viden om, hvordan systemet virker bag facaden.

Stop, stop! Skal man nu have erfaring med MS's ting inden man udtaler sig kritisk? Jeg troede det var rigeligt, at man kunne stave til "M$" og udtale "Open source" ;-)

Men tilbage til det saglige: Det er uden tvivl en bommert af karat de har lavet her, men hvem herinde kan sige sig fri for at have lavet fejl?

WP7 er MS' iPhone klon - ikke som at det har taget det flade design og de runde hjørner (i guder) men som at det "skal bare virke"

Jeg har haft min WP7 i godt en måned nu og skiftede fra en Android 2.3.? Efter sådan ca. 15 minutter var jeg ved at pakke den sammen igen - man kunne jo ikke noget? Alt var låst. Ingen taskmanger, ingen storagebrowser, ingen regeditor - WTF?
Men på trods af det, så har jeg stadig min WP7 - og den bliver ikke skiftet. Der er ingen grund til taskmanager eller andre "hacks" - Det spiller bare, hele tiden, hver gang. Der er ingen lag (trods den sparsomme processor) og ingen grund til, at boote den eller "rydde op" i de kørende Apps (som min Android i hvert fald led under)

UI'en er nok en smagssag. Men man kan ikke anklage dem for, ikke at holde stilen hele vejen igennem. Det er minimalistisk, simpelt og lige til.

Eneste problem pt. er manglen på Apps - men mon ikke det ændre sig.

  • 2
  • 2
Poul-Henning Kamp Blogger

Hvis de Herrer Bundgaard, Frandsen og Eriksen ellers gad gøre deres hjemmearbejde, ville de have opdaget at jeg overhovedet ikke er i nærheden af at være tilfreds med sikkerheden på Android og at jeg skarpretter enhver klytkoder uanset hvad operativsystem eller firma han koder for.

Her er f.eks min officielle udmelding om OpenSSL: https://www.varnish-cache.org/docs/trunk/phk/ssl.html

I kan få min off-the-record udmelding over et glas godtøl ved lejlighed.

Når indholdet i en SMS overhovedet kan påvirke telefonens funktion, kan det kun være fordi man totalt har misforstået både trusselmiljøet i et telenet og sundt og sikkert softwaredesign til at begynde med.

Derfor får Microsoft hug.

Havde det været Apple, Nokia eller Android, havde de fået samme hug.

  • 11
  • 0
Leonard Kramer

Det værste ved det her er at det er en gammel bug i deres Windows Live Messenger client (som de tilsyndeladende har ladet migrere med til Windows Phone og ekspanderet).
Jeg arbejdede i Windows Live Support for 3-4 år siden, og vi stødte ind i problemet med at hvis man satte de sjove koder i sin status, ville messenger blive ubruglig. (Og da WLM gemte beskeden server-side kunne geninstallering ikke løse problemet).

Vi rapporterede problemet tilbage dengang, men det blev ikke løst mens jeg arbejdede der.

Ironisk nok fandt vi en uofficiel work around: Brug en af de alternative klienter, f.eks. Trillian. Den kunne uden problemer håndtere koderne, så du kunne så skifte din status besked uden problemer, og så gå tilbage til Windows Live Messenger hvis du skulle have løst.

  • 6
  • 0
Venligst Slet Min Bruger
  • 0
  • 1
Poul-Henning Kamp Blogger

Sorry Thomas, men dit spin holder ikke.

FreeBSD og Varnish er begge designet således at uanset hvilke bytes i hvilken rækkevidde du smider efter dem, kompromiterer det ikke deres sikkerhed eller integritet.

Det princip har Microsoft aldrig adopteret, for deres ide om god brugervenlighed er at udføre alle programstumper der kommer forbi, uanset hvor meget eller lidt brugeren må stole på mediet der bragte dem.

  • 1
  • 0
Venligst Slet Min Bruger

Det princip har Microsoft aldrig adopteret, for deres ide om god brugervenlighed er at udføre alle programstumper der kommer forbi, uanset hvor meget eller lidt brugeren må stole på mediet der bragte dem.

Kender du WP i detaljer, siden du kan udtale dig således? Eller er det rent gætværk?

Jeg går ikke ud fra du har adgang til CE-kildekoden.

FreeBSD og Varnish er begge designet således at uanset hvilke bytes i hvilken rækkevidde du smider efter dem, kompromiterer det ikke deres sikkerhed eller integritet.

Det var ikke det jeg skrev. Jeg skrev, at hverken FreeBSD eller Varnish er fejlfrie. Så kan du snakke nok så meget udenom.

  • 0
  • 4
Poul-Henning Kamp Blogger

Du blander to ting sammen: Kodefejl, hvor koden ikke gør som designet forventer og designfejl hvor koden gør hvad designet forventer.

Stort set alle Microsofts sikkerhedsproblemer er designfejl, det er veldokumenteret og det har taget en evighed at slippe af med selvindlysende idioti som "autorun" og den slags.

  • 5
  • 0
Heine Andersen

Kender du WP i detaljer, siden du kan udtale dig således? Eller er det rent gætværk?

Jeg går ikke ud fra du har adgang til CE-kildekoden.

I følge wikipedia blev CE frigivet i 1996 ( http://en.wikipedia.org/wiki/Windows_CE )
I 2002 beder Bill G de ansatte om at tænke på sikkerhed ( http://news.cnet.com/2009-1001-817210.html )

Vil det sige at der ikke er tænkt sikkerhed ind de første 6 år ?

Nu vil du nok sige, jamen det var dengang, det er meget bedre nu, men nej, det er det ikke :

http://www.breakingpointsystems.com/community/blog/microsoft-udp-vulnera...

  • 2
  • 0
Venligst Slet Min Bruger

Stort set alle Microsofts sikkerhedsproblemer er designfejl, det er veldokumenteret og det har taget en evighed at slippe af med selvindlysende idioti som "autorun" og den slags.

Korrekt - men du mangler stadig at dokumentere at denne bug skulle være en sikkerhedsfejl. Jeg går dog næsten ud fra (siden du skippede spørgsmålet), at det er rent gætværk, du har gang i.

Vil det sige at der ikke er tænkt sikkerhed ind de første 6 år ?

Nu vil du nok sige, jamen det var dengang, det er meget bedre nu, men nej, det er det ikke :

Nej, det vil det ikke sige. Det vil sige, at de har haft endnu højere fokus på sikkerheden. Det er også blevet meget bedre i f.eks. Windows 7. At der stadig er fejl (som du referer til) er uundgåeligt.

Jeg siger ikke, at *nix ikke er mere sikkert - men der er en masse påstande i denne tråd, som endnu ikke er bakket op med andet end flere påstande.

  • 0
  • 5
Anders Palm

Korrekt - men du mangler stadig at dokumentere at denne bug skulle være en sikkerhedsfejl.

Arhhh, nu går det lige stærkt nok. Her er der tale om at der sendes en tekst eller andet medie med en protokol igennem et netværk. Opgaven er så at fremvise indholdet korrekt i den anden ende.

Der er ikke på noget tidspunkt makroer eller kode eller andet gøgl i de her beskeder, det handler om at fremvise indholdet fra brugeren.

Hvis man i den fremvisning har en fejl der gør at programmet kan gå ned, så har man ikke været dygtig nok til at tjekke at det data man fremviser rent faktisk er "fremvisbart".

Hvordan kan det ikke være en sikkerhedsfejl?

Herefter formår det så at fremprovokere en fuld genstart af styresystemet, fordi der en bug i et fremvisningsprogram. Hvorfor skal sådan et program have adgang til noget der kan bringe styresystemet helt i knæ?

Hvordan kan det ikke være en sikkerhedsfejl?

Jeg er helt med på at fejl opstår alle steder, om man så er hos MS, Apple, eller i OSS-land. Men det her peger på nogle helt grundlæggende fejl, hvor de basale sikkerhedsaspekter ikke er tænkt med. Det graverende er jo ikke at der er en bug i messaging programmet, problemet er at det bringer styresystemet ned med sig og herefter låser sig selv fuldstændigt ned. Det burde altså være systemdesign 101 at holde de her ting adskilt.

  • 5
  • 0
Ronnie Jensen

Vildt hvor mange Microsoft-haters der er herinde! Alle som taler bare lidt positivt om Windows Phone/Microsoft bliver bombarderet med thumbs downs.

Hvorfor hader I Microsoft sådan??

Da jeg købte min første Windows Phone for nylig, blev jeg sandelig overrasket.
Jeg har tidligere haft iPhone og Android. Og ja, det er fandme dejligt at have adgang til så mange apps. Solgt min iPhone for et år siden, da jeg ville prøve kræfter med Android. iPhonen blev også lidt kedeligt at se på efterhånden. Friheden for at ændre UI i android var fedt. Den kunne jo nærmest alt. Men brugervenligt synes jeg nu ikke at det var. Bare at slette en app, krævede jo at man skulle ind i indstillinger og administrer programmer og dit og dat. Desuden var jeg temmelig irriteret over at man ikke kunne installere apps direkte på SD-kortet. Nej, først skal det gemmes på telefonhukommelsen og derefter overføres til SD – det’ sgu fjollet.
Forleden dag skulle jeg hjælpe min ven ved at oprette iCloud på hans iPhone og Macbook. Siger bare: hold da kæft mand det var besværligt. Tilslutte til itunes, apple-id osv osv. Møgbesværligt.

Med Windows Phone skal man bare skrive sin hotmail adresse – og wupti du har 25 gb plads i skyen. Har aldrig været så nemt at integrere min facebook, gmail og hotmail kontoer i en telefon. Kontakter, kalender, opgaver, billeder ligger i skyen, slut prut finale. Så nemt!

Jeg synes at Microsoft har gjort sit arbejde godt, og I er ikke berettiget til at svine dem til – når de er kommet med et godt og innovativ alternativ til IOS og Android.
Jeg holder fast i Windows Phone, og glæder mig virkeligt til hvad de har at byde på i fremtiden.

Og jaja, kom bare med de thumbs downs

  • 2
  • 6
Venligst Slet Min Bruger

Der er ikke på noget tidspunkt makroer eller kode eller andet gøgl i de her beskeder, det handler om at fremvise indholdet fra brugeren.

MMS'er indeholder vel en form for kode f.eks. I øvrigt er SMS-bugs ikke noget, der er eksklusivt for WP. Både Android og iOS har tidligere lidt under samme problem.

Hvis man i den fremvisning har en fejl der gør at programmet kan gå ned, så har man ikke været dygtig nok til at tjekke at det data man fremviser rent faktisk er "fremvisbart".

Enig. Og det er formentlig derfor den crasher. Der er dog ingen beviser for, at der rent faktisk kan køres data, at der er noget, der er brudt ud af sandboxen osv.

Det eneste vi har set er en video med en telefon, der crasher. Der er ingen detaljer sluppet ud om fejlen, så hvordan man med sikkerhed i stemmen kan konkludere, at her er en graverende sikkerhedsfejl må svæve i det uvisse. Hypotetiske argumenter som "jaja, men det crasher jo! så er der hul igennem!" er sgu ikke meget værd.

  • 0
  • 5
Allan Dahl

Forleden dag skulle jeg hjælpe min ven ved at oprette iCloud på hans iPhone og Macbook. Siger bare: hold da kæft mand det var besværligt. Tilslutte til itunes, apple-id osv osv. Møgbesværligt.

Med Windows Phone skal man bare skrive sin hotmail adresse – og wupti du har 25 gb plads i skyen. Har aldrig været så nemt at integrere min facebook, gmail og hotmail kontoer i en telefon. Kontakter, kalender, opgaver, billeder ligger i skyen, slut prut finale. Så nemt!

Selvom jeg også har en Windows Phone, så må jeg kommentere på denne her.

Du siger jo

  1. Du har ikke en konto hos apple i forvejen og så er det besværligt at forbinde sin telefon til deres tjenester
  2. Du har en konto hos Microsoft og så er det nemt at forbinde til deres tjenester

Mon ikke det havde været det samme den anden vej rundt, hvis ikke du havde en konto hos Microsoft?

  • 3
  • 0
Bjørn Damborg Froberg

Er det egentlig nu man skal stikke snotten frem og lige nævne at lign. fejl har eksisteret på Symbian i lang tid, lang tid? Derudover har både Apple og Android været ramt af lignende SMS exploits.

Ja, det er skide uheldigt for MS at det skal ramme dem - men de er ikke de første det sker for og næppe de sidste.

Det vil til alle tider være sådan at platformen med mest udbredelse, vil være den mest udsatte. Udbredelse kombineret med åbenhed = guf for malware writers.

Derfor er Android i høj grad et mål. Pga. Sløve opdateringer fra producenterne - i mange tilfælde komplet fraværende - og en meget åben tilgang til tingene.

Det handler, for malware writers, om hvor man nemmest kan omsætte sit "arbejde" til penge. Derfor er det stadig Windows OS og ikke OSX eller Linux der bliver angrebet mest. Derfor bliver Android angrebet mere nu end Symbian, Windows Phone, Windows Mobile m.m.

Hvor vi til Android har set trojanere der kan roote devices og sende alt indholdet til eksterne ftp servere, premium sms schemes og meget, meget mere - så er det yderst begrænset hvad der har åbenbaret sig til Windows Phone.

Ja, dette er en meget slem exploit af slagsen - men det er trods alt noget de er opmærksomme på og har fokus på at rette.
Sidst men ikke mindst må nævnes at fejlen kan rettes med hard-reset af enheden - og jeg tør næsten satse på at det ikke er noget vi kommer til at se udbredt in the wild.
Der er jo ingen penge i at deaktivere en telefon. Nææh, kan vi i stedet sende SMS'er til premium-rate tjenester eller lign, så er det sjovt - men dagene hvor fokus var på at ramme så mange som muligt for sjovs skyld - og for at se hvor langt man kunne nå, er desværre(fristes man til at sige) forbi.

  • 1
  • 2
Pia Petersen

at uanset hvad alle dommedagsprofeterne og de tekniske unikummer herinde tror de ved eller tror de kan, så er der med 100% sandsynlighed en eller flere ansatte i MS's WP division der er mindst dobbelt så klog som den klogeste i dette forum. I challenge you: kom med jeres bud på WP7s markeds andel om 1 år. Så kan jeg love jer at jeg skal tage tråden op om 12 måneder.

  • 0
  • 6
Venligst Slet Min Bruger

Jeg har læst flere steder, at man estimerer, at der er solgt 6-8 millioner Windows Phones. Ikke noget voldsomt tal.

Analytikerne mener, at Nokia vil sælge/sælger et sted mellem 300.000 og 1 million Lumia-telefoner i dette kvartal. Hvorvidt der er hold i det eller ej, må tiden vise. :)

Til gengæld er telefonen den mest solgte hos KPN i Holland f.eks. Så der er da håb endnu, hvis man er "fan" af platformen. Hos Expansys herhjemme er den også den mest populære tlf. pt. Det skyldes nok, at man ikke kan få den ret mange andre steder end hos dem endnu, men alligevel. :)

I øvrigt var der (forhåbentlig) ingen der forventede, at Nokia ville sælge 3-4 millioner Lumia-telefoner på meget kort tid.

  • 0
  • 0
Ronnie Jensen

Allan. Nu skriver jeg jo at jeg skulle hjælpe min ven med at forbinde hans iPhone og Macbook med iCloud. Og han har et apple-id. Jeg sammenligner icloud med skydrive. Og her mener jeg at man får skydrive automatisk. Derfor havde jeg jo sådan set forventet at man bare skulle logge ind med sit apple-id, på sin iPhone el. Macbook. Men nej.

Hvis man ikke har en konto hos hotmail. Jamen så opretter man bare et, og så har du adgang til skydrive automatisk. Man skal ikke bøvle med tilslutte dit og dat, for at få det op at køre. Her skal man bare logge ind.

  • 0
  • 0
Henrik Mikael Kristensen

uanset hvad alle dommedagsprofeterne og de tekniske unikummer herinde tror de ved eller tror de kan, så er der med 100% sandsynlighed en eller flere ansatte i MS's WP division der er mindst dobbelt så klog som den klogeste i dette forum. I challenge you: kom med jeres bud på WP7s markeds andel om 1 år. Så kan jeg love jer at jeg skal tage tråden op om 12 måneder.

Det er heldigt, at voksende markedsandele for et produkt, så ikke er nok til få kølige hoveder til at falde i svime og ignorere principielle sikkerhedsfejl.

Det er tilsyneladende også nemt at undervurdere PHK's udmelding, fordi man ikke selv sanser, at alarmklokkerne altså ringer højt hos selv halvt motiverede udviklere, når sådan en klassisk og typisk designfejl dukker op.

Men nu skal vi se det positive i det: Debatten tillader søgere af kompetente udviklere til kommende jobs at skille fårene fra bukkene. Så kan man selv overveje, om man er får eller buk.

  • 0
  • 0
Log ind eller Opret konto for at kommentere