Stagefright-mareridtet fortsætter: Angrebskoden er blevet offentliggjort

Illustration: Android Logo
Mens Google og de mange producenter af Android-telefoner endnu kæmper for at få lukket de sidste sikkerhedshuller, er angrebskoden blevet offentliggjort.

Sikkerhedsfirmaet Zimperium har netop offentliggjort nogle af de Stagefright-koder, de brugte til at kompromittere Android-telefoner med. Det sker på trods af utallige opfordringer fra Google om at holde på dem lidt endnu, idet der siden er blevet ved med at dukke sårbarheder op i Android.

Da Stagefright-hullet blev opdaget, truede det potentielt set sikkerheden på en lille milliard Android-telefoner. Siden da er den ene Android-patch bliver rullet ud efter den anden, ofte under massiv kritik af forbrugere og sikkerhedseksperter, der mener, opdateringerne kom for langsomt.

Og der er lang vej for en opdatering, der skal lukke et kritisk hul i en Android-telefons sikkerhed. Først skal fejlen opdages, hvorefter Google lukker hullet og sender en Android-patch ud. Derefter skal hver enkelt producent opdatere patchen på deres telefoner. En proces, der kan tage måneder, medmindre ekstra opdateringer udrulles hos producenterne, hvilket koster penge og irriterer forbrugeren.

Ud over at give angriberen root-adgang og dermed praktisk talt fuld kontrol med telefonen, kan koden give adgang til mobilens optageudstyr og kamera. Dermed kan man bruge telefonen til at aflytte og overvåge ejeren af telefonen.

Normal procedure at offentliggøre svagheder

Ifølge sikkerhedskonsulent hos CSIS Jan Kaastrup er det almindelig best practice at offentliggøre sårbarheder.

»Som det første bør man som sikkerhedsfirma informere producenten, og derefter går man så ud og offentliggør sikkerhedsbristet,« siger Jan Kaastrup, der tilføjer, at man bør give producenten en rimelig frist for at lukke hullet, inden instruktionen i, hvordan bristet fungerer rent teknisk, kommer ud.

»Det afhænger meget af den enkelte situation, og alt afhængigt af kompleksiteten kan der gå mellem 3-4 uger og et halvt år, før man vælger at offentliggøre bristet,« siger Jan Kaastrup, der også fortæller, at der nogle gange går alt for længe, før en virksomhed lukker et hul. Og at man derfor - for forbrugernes skyld - vælger at offentliggøre koderne.

Alle producenterne af Nexus-telefonerne og Samsung, LG og Sony har lovet at lave månedlige opdateringer, hvilket Jan Kaastrup vurderer til at være en udmærket opdateringskadence, hvis man som producent er åben for ekstra patches i tilfælde af ekstraordinære sikkerhedstrusler.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
Bent Jensen

Du skal nok regne med at det kun er rene google telefoner der får en patch ingen for overskuelig tid. Samt måske bruger af CM.

Producenter ser dig heller angrebet, og stå med en ødelagt telefon, så du skal købe en ny. End at bruge tid og penge på at opdatere gamle modeller.

Det stopper kun hvis man kan sagsøge dem for meget mere ind de spare, eller man vælger en telefon for en producent der tager sikkerhed og brugervenlighed alvorligt.
Har ikke fundet nogen som er helt gode til det,

Men holdt dig helt fra ASUS, af de store, de har IGEN service.

Jonas Bo Hansen

Selv ikke alle Googles Nexus mobiler er ikke sikre endnu. Jf denne artikel fra Ars Technica, så er der flere typer af angribsmuligheder via Stagefright: http://arstechnica.com/security/2015/09/attack-code-exploiting-androids-...
Fra kilden: "a Nexus 5 phone running all available patches remained wide open at the time this post was being prepared"
Det gælder dog tilsyneladende ikke andre mobiler på Android 5.0 og opefter

René Nielsen

Jeg skal lige starte med at sige at jeg bruger Blackberry, men når man køber en Android telefon, så er der altså en grund til at den er billigere end en iphone.

Det er ikke gratis at opdaterer ”gamle” modeller, men Apple gør det typisk i 3-4 år efter lancering og Blackberry typisk i 2 år efter lancering. Android typisk i 6-9 måneder efter lancering.

Det skal man huske når man køber mobiletelefonen, at der er en grund til at den er billigere, fordi den efterfølgende service er dårligere ved Android telefoner

Christoffer Kelm Kjeldgaard

Det er ikke gratis at opdaterer ”gamle” modeller, men Apple gør det typisk i 3-4 år efter lancering og Blackberry typisk i 2 år efter lancering. Android typisk i 6-9 måneder efter lancering.

Selvfølgelig er det ikke gratis - men det er meget, meget billigt, forudsat at der er en vilje til at anvende en anden fremgangsmåde end i dag. Android-producenterne betaler allerede Google for at udvikle systemet og patches gennem medlemskab af Open Handset Alliance - det er udelukkende distribution af patches, hvilket stort set er gratis eller peanuts for virksomheder på størrelse med Samsung.

Der er også andre gældendee incitamenter end pris. Telefonproducenterne har bevidst valgt at opdateringer kun kommer i en opdateringsstrøm uanset om det er nye features eller sikkerhedspatches.

Apple leverer ganske rigtigt opdateringer, men det er ofte tvivlsomt om hardwaren kan klare de nye features - hvor hardwaren i øvrigt er bevidst underdimensioneret både for at spare penge, men i den grad også for at få kunderne til at opgradere fordi enheden ikke kan køre den seneste patch tilfredsstillende.

  • Det er ikke tilfældet ved nogen af Android enhederne. Selv ældgamle telefoner kan køre Android 5.0.

Problemet ved android er den kæmpemæssige mængde af legacy-enheder, hvor drivere til f. eks. radio og kamera er closed source. Mange af disse drivere bliver enten reverse-engineered af eksempelvis CM-holdet for at sikre at enhederne kan opdateres.

  • Valgte man, som i det øvrige Linux miljø, at lave en adskillelse mellem sikkerhedsopdateringer og funktionsopdateringer var man allerede langt. Distrubution kan klares via P2P når enheden er på WiFi og tilsat oplader. Done.
Ivo Santos

Okay, nu aner jeg intet om Android, men jeg formoder at der selve firmwaren som skal opdateres da hulet finder der og ikke andre steder. For jeg kunne forestille mig at det er derfor der ikke er ret mange opdateringer til android baserede mobil telefoner.

Jakob Damkjær

"Det sker på trods af utallige opfordringer fra Google om at holde på dem lidt endnu, idet der siden er blevet ved med at dukke sårbarheder op i Android."

Nåååå så når Google ber om mere tid fordi sårbarheden er mere kompleks at fikse end man først regnede med så skal de ha mere tid... Men når det samme er tilfældet for andre firmaer så er det bare ærgerligt...

Tiden løb ud og i nåede det ikke... Måske kan det lære Google at være lidt mere samarbejdsvilling på den front i fremtiden... Men lige nu må man sige at karma er en kælling, lev med det.

PS! Der er nogen der har glemt at tele operatørene på tværs af planeten også skal lege med...

Christoffer Kelm Kjeldgaard

PS! Der er nogen der har glemt at tele operatørene på tværs af planeten også skal lege med...

Hvorfor? OTA på Android forudsætter du er tilkoblet WiFi.

Google ber om mere tid fordi sårbarheden er mere kompleks at fikse end man først regnede med

Stagefright-problemet er ikke SÅ komplekst at det ikke kunne løses indenfor tidsfristen. Det handler nærmere om at Google over de sidste par år har udhulet Android til istedet at fokusere på deres egne closed-source alternativer. Hangouts (SMS), Google Dialer (Phone) og Chrome (browser).

Zimperium havde ved offentliggørelsen af stagefright allerede en patch til deres egen Android ROM. Cyanogenmod har ligeledes frigivet en patch.

Stagefright-biblioteket er også plaget af unødig kompleksitet. Det er gået fra at være et bibliotek til håndtering af offline medieafspilning til at varetage loading af medie-objekter på hjemmesider, MMS og 3rd party Android apps medieafspilningsopgaver (og meget andet).

Det bibliotek har længe trængt til at blive dekomponeret og splittet op i mindre komplekse del-biblioteker. Det må tænkes at være blandt overvejelserne hos Google.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder