Størstedelen af de enheder, der kører Googles Android operativsystem er sårbare overfor hacks, der giver onskabsfulde applikationer adgang til at stjæle brugeroplysninger, læse emails og få adgang til betalingshistokriker og andre sensitive data. Det advarer efterforskere om ifølge Ars Technica.
Svagheden i Android har eksisteret siden Google udsendte version 2.1 i begyndelsen af 2010, fortæller efterforskerne fra Bluebox Security.
De har døbt sikkerhedshullet “Fake ID” fordi det giver adgang til Android-ressourcer, som typisk er begrænset område forbeholdt programmer med specielle certifikater; de sammenligner det med barer, hvor mindreårige får adgang ved at vise et falsk ID.
Små ændringer i Android 4.4
Google-udviklerne har introduceret ændringer, som begrænser noget af skaden, som de ondsindede apps kan gøre i Android 4.4, men den underliggende bug er stadig uberørt, også i Android L preview.
“Fake ID”-sårbarheden skyldes af Android ikke får verificeret ægtheden af de kryptografiske certifikater, som kommer med hver enkelt app, som bliver installeret på en enhed. Styresystemet sætter sin lid til legitimationsoplysningerne, når det gives særlige privilegier, som giver apps adgang til at omgå Android Sandboxing – det program, som kontrollerer de installerede apps.
Under normale omstændigheder, vil Sandbox forhindre programmer i at få adgang til data, som tilhører andre apps og følsomme dele af styresystemet. Udvalgte apps derimod, får lov til at bryde ud af Sandbox. Adobe Flash i alle versioner, undtagen 4.4, for eksempel, får lov til at agere plugin, for alle andre apps, som bliver installeret på telefonen, formentligt for at give lov til at give animation- og grafiksupport.
Google kender problemet
Ligeledes har Google Wallet adgang til Near Field Communication hardware, som arbejder med betalingsinformationer.
Ifølge Jeff Forristal, Chief technology officer hos Bluebox Security, fejler Android i at verificere kæden af certifikater, som bliver brugt til at certificere, hvorvidt en app tilhører en eliteklasse af superpriviligerede programmer. Som et resultat kan en app udviklet med onde hensigter inkludere et validt certifikat, som siger at det er Flash, Wallet eller et hvilket som helst andet program, som er kodet ind i Android. Styresystemet vil dermed give app’en de samme specielle privilegier, som bliver givet til de legitime apps, uden nogensinde at tage sig tiden til at tage sig tiden til at undersøge, om certifikatet er forfalsket.
Google skriver i en meddelelse, at de nu har set problemet, og at de har lavet en patch, som skal afhjælpe det. Efterforskerne hos Bluefox har dog fortsat endnu ikke set nogen ændringer træde i kraft, skriver Ars Technica.
Leave a Reply