Del : SMS
Berlingske Business

Sikkerhedshul i Android siden 2010

GOOGLE-NEXUS
Sikkerhedshul i Google Android. Foto:

Efterforskere har fundet et sikkerhedshul i Android, som har været der længe. Hullet gør, at Android er sårbart overfor falske sikkerhedscertifikater.

Artiklen fortsætter under annoncen

Størstedelen af de enheder, der kører Googles Android operativsystem er sårbare overfor hacks, der giver onskabsfulde applikationer adgang til at stjæle brugeroplysninger, læse emails og få adgang til betalingshistokriker og andre sensitive data. Det advarer efterforskere om ifølge Ars Technica, skriver Version2.dk.

cprnumre

Svagheden i Android har eksisteret siden Google udsendte version 2.1 i begyndelsen af 2010, fortæller efterforskerne fra Bluebox Security.

De har døbt sikkerhedshullet "Fake ID" fordi det giver adgang til Android-ressourcer, som typisk er begrænset område forbeholdt programmer med specielle certifikater; de sammenligner det med barer, hvor mindreårige får adgang ved at vise et falsk ID.

Små ændringer i Android 4.4

Google-udviklerne har introduceret ændringer, som begrænser noget af skaden, som de ondsindede apps kan gøre i Android 4.4, men den underliggende bug er stadig uberørt, også i Android L preview.

"Fake ID"-sårbarheden skyldes af Android ikke får verificeret ægtheden af de kryptografiske certifikater, som kommer med hver enkelt app, som bliver installeret på en enhed. Styresystemet sætter sin lid til legitimationsoplysningerne, når det gives særlige privilegier, som giver apps adgang til at omgå Android Sandboxing - det program, som kontrollerer de installerede apps.

27BUSGOOGLE-CONFERENCE.jpg

Under normale omstændigheder, vil Sandbox forhindre programmer i at få adgang til data, som tilhører andre apps og følsomme dele af styresystemet. Udvalgte apps derimod, får lov til at bryde ud af Sandbox. Adobe Flash i alle versioner, undtagen 4.4, for eksempel, får lov til at agere plugin, for alle andre apps, som bliver installeret på telefonen, formentligt for at give lov til at give animation- og grafiksupport.

Google kender problemet

Ligeledes har Google Wallet adgang til Near Field Communication hardware, som arbejder med betalingsinformationer.

Ifølge Jeff Forristal, Chief technology officer hos Bluebox Security, fejler Android i at verificere kæden af certifikater, som bliver brugt til at certificere, hvorvidt en app tilhører en eliteklasse af superpriviligerede programmer. Som et resultat kan en app udviklet med onde hensigter inkludere et validt certifikat, som siger at det er Flash, Wallet eller et hvilket som helst andet program, som er kodet ind i Android. Styresystemet vil dermed give app'en de samme specielle privilegier, som bliver givet til de legitime apps, uden nogensinde at tage sig tiden til at tage sig tiden til at undersøge, om certifikatet er forfalsket.

pix_app

Google skriver i en meddelelse, at de nu har set problemet, og at de har lavet en patch, som skal afhjælpe det. Efterforskerne hos Bluefox har dog fortsat endnu ikke set nogen ændringer træde i kraft, skriver Ars Technica.

Deltag i debatten på Version2.dk

Business blogs Alle blogs

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

På trods af store udfordringer med infrastrukturen i mange af de store byer har et partnerskab mellem det offentlige og private længe været en sovende kæmpe.Hør Sampensions direktør Hasse Jørgensen fo...

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere