Gå til innhold

Fraråder butikkene å selge Android


Anbefalte innlegg

Jeg foretrekker å vurdere sikkerheten i operativsystemet objektivt. iOS har en rekke gode sikkerhetsmekanismer, men sliter med de samme manglene Android gjør med tanke på ASLR, og utover det er det en del mindre forskjeller.

FYI: iOS har ASLR og DEP, har hatt det siden iOS 4. Har også sandboxing og kodesignering, samt mulighet for at Apple kan bruke en "kill-switch" som sletter en eventuell skadelig app fra folks telefoner - slik Google har måttet gjøre mange ganger med malwareapps som intetanende kunder har lastet ned fra Android Market. Dessuten blir apps forhåndssjekket av Apple før de legges ut på App Store. Alt i alt gir dette et generelt et høyre sikkerhetsnivå for iOS.

http://www.infoworld.com/d/mobile-technology/apple-ios-why-its-the-most-secure-os-period-792-0

Lenke til kommentar
Videoannonse
Annonse

Se litt nærmere på statistikken og disse hundretusenvis av brukerne infisert med malware fremstår med ett som vesentlig mindre alvorlig. Android får mye fokus på dette området av naturlige årsaker. Sikkerhetsselskapene vil tjene penger og spiller på frykt og forvrenging av detaljer. Dumme brukere kan ikke noe OS beskytte seg mot. Det er mange gode eksempler på det fra iOS også. (lockscreen hijackingen anyone? :p)

 

Men mitt poeng er at Android ikke er sikkert, men det er neimen men ikke noe annet OS heller.

Hundretusenvis av kompromitterte Android-enheter taler da for seg selv, uansett hvilken statistikk enkelte ønsker å manipulere for å få det til å framstå som "mindre alvorlig". Så, ja, det er helt naturlig at en malware-kloakk som Android og Android Market får mye fokus, for tallene er reelle og ikke noe sikkerhetsselskapene har funnet på.

Det blir bare for enkelt å skylde på "dumme brukere" - når den store majoriteten er "dumme" når det gjelder å vurdere sikkerhetstrusler fra det de anser som en relativt sikker kilde - nemlig det som Google serverer dem gjennom sitt offisielle Market. Det er faktisk fullt mulig å foreta en viss forhåndskontroll av det som slippes løs på brukerne, og ta et visst ansvar for det man selger/distribuerer som en hvilken som helst seriøs butikk - men Google er nok for grådige til å ta denne betydelige kostnaden...

 

Lockscreen hijacking? Ukjent for meg.

Endret av cyclo
Fjernet unødvendig sitat
Lenke til kommentar

FYI: iOS har ASLR og DEP, har hatt det siden iOS 4. Har også sandboxing og kodesignering, samt mulighet for at Apple kan bruke en "kill-switch" som sletter en eventuell skadelig app fra folks telefoner - slik Google har måttet gjøre mange ganger med malwareapps som intetanende kunder har lastet ned fra Android Market. Dessuten blir apps forhåndssjekket av Apple før de legges ut på App Store. Alt i alt gir dette et generelt et høyre sikkerhetsnivå for iOS.

http://www.infoworld.com/d/mobile-technology/apple-ios-why-its-the-most-secure-os-period-792-0

 

Ja, stemmer at full ASLR kom i 4.3, så det var en forsnakkelse fra min side! :) Og Apple sin fremgangsmåte er vel og god den, da du får en screening av alle apps som legges ut. Men problemet er på den andre siden at ingen vet noe om hvordan denne screeningprosessen foregår. Hvis man begynner å regne på hvor mange apps som blir publisert hver dag, er det mulig å sette spørsmålstegn på hvor grundig prosessen er. Android 2.3 har forøvrig også DEP (stack og heap).

 

Men igjen, brukere er "dumme" og forstår ikke sikkerhet. Så hjelper lite med Apple sin screening prosess når man jailbreaker. Og uansett får du problemer som dette som viser at uansett hvor god sikkerheten i et OS er, så finnes det alltid måte å omgå det hele. Så å påstå at Android er langt bak andre blir tullete.

Endret av cyclo
Fjernet unødvendig sitat
Lenke til kommentar

Hundretusenvis av kompromitterte Android-enheter taler da for seg selv, uansett hvilken statistikk enkelte ønsker å manipulere for å få det til å framstå som "mindre alvorlig". Så, ja, det er helt naturlig at en malware-kloakk som Android og Android Market får mye fokus, for tallene er reelle og ikke noe sikkerhetsselskapene har funnet på.

Det blir bare for enkelt å skylde på "dumme brukere" - når den store majoriteten er "dumme" når det gjelder å vurdere sikkerhetstrusler fra det de anser som en relativt sikker kilde - nemlig det som Google serverer dem gjennom sitt offisielle Market. Det er faktisk fullt mulig å foreta en viss forhåndskontroll av det som slippes løs på brukerne, og ta et visst ansvar for det man selger/distribuerer som en hvilken som helst seriøs butikk - men Google er nok for grådige til å ta denne betydelige kostnaden...

 

Lockscreen hijacking? Ukjent for meg.

 

Angry Birds sto vel i listen over sikkerhetselskapenes liste over "malware" på Android... Så å påstå at sikkerhetselskapene har helt rent mel i posen og ingen interesse av å presse på sikkerhetsprogramvare på brukere på er å strekke strikken for langt.

Endret av cyclo
Fjernet unødvendig sitat
Lenke til kommentar

Gartner Group er de største Windows-fanboysene du finner. At de er negative til Windows-telefonenes største utfordrer, den markedsledende Android er like forutsigbart som at dag følger natt.

 

Og at Hardware.no-nettverket fremmer pro-Microsoft-artikler er like selvfølgelig og forutsigbart.

Lenke til kommentar

Ja, stemmer at full ASLR kom i 4.3, så det var en forsnakkelse fra min side! :) Og Apple sin fremgangsmåte er vel og god den, da du får en screening av alle apps som legges ut. Men problemet er på den andre siden at ingen vet noe om hvordan denne screeningprosessen foregår. Hvis man begynner å regne på hvor mange apps som blir publisert hver dag, er det mulig å sette spørsmålstegn på hvor grundig prosessen er. Android 2.3 har forøvrig også DEP (stack og heap).

 

Men igjen, brukere er "dumme" og forstår ikke sikkerhet. Så hjelper lite med Apple sin screening prosess når man jailbreaker. Og uansett får du problemer som dette som viser at uansett hvor god sikkerheten i et OS er, så finnes det alltid måte å omgå det hele. Så å påstå at Android er langt bak andre blir tullete.

En screening av alle apps er uansett bedre enn ingen screening. Jeg antar at det er tilsiktet at detaljene i Apple godkjenningsprosess ikke er offentlig kjent, da det som regel vil være vanskeligere å omgå en prosess der metodene er ukjente.

 

Safari sitt UI er vel temmelig likt det man finner i standardnettleserne i Android-telefoner: adressefeltet finnes øverst på skjermbildet og vil vises mens siden lastes inn, og vil alltid være der når man scroller til toppen av skjermbildet. Phishing-forsøket i linken din var litt for banalt, men det finnes sikkert dem som kan gå på noe slikt også... ;)

 

Ingen smarttelefoner har OS som er "sikre som banken", men noen er sikrere enn andre. "Friheten" i Android, som mange promoterer så heftig, er også dets akhilleshæl, og den store utbredelsen av malware annullerer langt på vei de sikkerhetsmekanismene som tross alt finnes i OS-et når det gjelder den totale sikkerhetseffekten for den vanlige brukeren.

 

 

Angry Birds sto vel i listen over sikkerhetselskapenes liste over "malware" på Android... Så å påstå at sikkerhetselskapene har helt rent mel i posen og ingen interesse av å presse på sikkerhetsprogramvare på brukere på er å strekke strikken for langt.

Kan vel ha sammenheng med falske versjoner av Angry Birds og eller falske tillegg o.l. til Angry Birds

http://www.wired.com/gadgetlab/2011/06/android-malware-angry-birds/

http://blog.webroot.com/2011/06/10/android-plankton-angry-birds-cheating-malware-contains-bot-like-code/

 

Sikkerhetsselskap har helt sikkert en egeninteresse i å fokusere mest mulig på mer eller mindre reelle trusler. Men fakta er likevel udiskutable: Google har flere ganger måttet bruke sin "kil-switch" for å fjerne skadelige apps fra hundretusenvis av Android-installasjoner.

http://voices.washingtonpost.com/fasterforward/2011/03/google_activates_kill_switch_t.html

 

 

Lockscreen hijacking? Ukjent for meg.

 

Husket bare ransomware-meldingene som dukket opp på telefonene til folk etter SSH-buggen kom ut.. Når opp mot 70% av iPhones er jailbroken, så hjelper det lite med Apple sin kontroll av App store.

Altså en exploit som forutsatte jailbreaking. Tallet 70% tror jeg du har tatt ut av fantasien, eller det må være noe gammel statistikk. Er rimelig sikker på at det reelle tallet ikke er i nærheten av 70% i dag - jailbreaking har de siste par årene vært kun for de meget spesielt interesserte.

Endret av Newton
Lenke til kommentar

"Sikkert som banken"...så lenge folk ikke gjør noe så idiotisk som å laste ned apps fra Android Market...

http://www.zdnet.com/blog/security/google-android-market-malware-problem-escalates/9001

http://www.androidguys.com/2011/10/21/lookout-identifies-new-malware-threat-lena/

http://www.infoworld.com/d/mobile-technology/android-malware-cesspool-and-users-dont-care-006

 

Hundretusenvis av Aadroid-brukerne som har fått sine telefoner/nettbrett infisert med malware på denne måten er nok ikke helt enige med deg... ;)

Nå kan du hende du visste det fra før og bare sprer FUD, men jeg lar tvilen komme deg til gode, og regner med du bare ikke har lkest eller forstått det du linker til.

 

Av de tre linkene du kommer med er det EN som er i nørheten av å ha noen som helst verdi, fordi den kommer med konkret informasjon om en applikasjon og dens virkemåte - det er den midterste linken. Dessverre for poenget ditt, er det snakk om en applikasjon som BER DEG om root-tilgang. Det vil si at du må ha rootet telefonien før den kan gjøre noen ting (liknende jailbreak for iOS), og deretter velge å la denne bestemte applikasjonen benytte seg av root-tilgangen.

 

Dermed viser det ikke på noen måte noe sikkerhetshull i Android slik det lanseres til forbrukerne i det hele tatt. Rooter du, og lar programmer benytte seg av root, er du fullstendig på egenhånd.

 

Av de tre artiklene du linker til, er det altså ingen som er i nærheten av å underbygge et poeng om at Android er usikkert.

 

Støtter Untouchab1e her i at det bør være et visst minimum av "teknisk ærlighet" og fokus i diskusjonen, de linkene der er omtrent like verdifulkle som om jeg skulle linke til en random blogpost som sier at "iOS er bæsj".

 

Ekstra latterlig blir det når infoworld-artikkelens mest kritiske reelle eksempåel er en apps som har sendt premium sms-er (betalingstjeneste-smser). Her har brukeren lastet ned programmet, fått en advarselsboks om at programmet vil ha tillatelse til å sende sms, og trykket OK...

 

Når det er sagt, er det klart at Google gjerne burde kjørt en viss testrutine på alle apps som legges inn, men mange av "malware"applikasjonene som har kommet så langt ville jo uansett ikke blitt stoppet av enm slik test - et program som ber om tillatelse til å sende sms skal jo få lov til det hvis brukeren gir tillatelse.

 

Den eneste reelle malwaren jeg har hørt om til Android så langt, er DroidDream. Selv DroidDreamLight er jo ikke et sikkerhetsproblem i Android, men er et klassisk PEBCAK-scenario. (Om jeg husker Light-varianten riktig nå.)

 

 

edit: Slik jeg ser det, er Androids største sikkerhetsproblem, som jeg nevnte tidligere, ikke et problem med Android, men med mobiloperatører og -produsenter som tilpasser sin egen versjon, og kanskje ikke får med siste upstrteam-patcher som kan være sikkerhetsrelaterte.

 

Men så man ikke glemme at ANdroid neppe hadde klart å passere iOS på så kort tid om man ikke hadde tillatt denne vidstrakte adopsjonen og modifikasjonen, der Android-prosjektet lar seg inspirere av hva ulike produsenter og utviklere gjør med OSet. (Bare synd de ikke har Sense sin rulklehjul-implementasjon for å velger tid/dato etc.)

Endret av NgZ
  • Liker 7
Lenke til kommentar

@NgZ: Ser ikke noe spesielt FUD-aktig i artiklene jeg linket til. De to første nevner spesifikk malware ved navn, den siste er en mer generell artikkel, med linker til bakgrunnstoff. Dette er bare relativ tilfeldige eksempler på at Google distribuerer malware i stor stil gjennom Android Market, og man trenger da vanligvis ikke linke direkte til side opp og side ned med detaljert teknisk dybdeinformasjon for å framlegge slike fakta her i forumet...

 

Den første linken handler nettopp om Droid Dream og varianter av den, som selv du du anerkjenner som reell malware. Hvordan er det FUD? Nå er det også kjent at Droid Dream alene står bak hundretusenvis av infeksjoner, og at dennne malwaren selv kan roote Android-telefoner, så poengene mine står relativt godt.

http://www.infosecurity-magazine.com/view/20821/analyst-spots-major-changes-in-android-droiddream-malware/

 

Man kan alltids forsøke å bagatellisere og kalle det PEBKAC når brukere er "dumme" nok til å stole på Google og det de serverer i Android Market, men da får man bare gi Gartner rett i at Android ikke har en god nok sikkerhetsmodell for folk flest, siden folk flest er "dummere" når det gjelder slike ting på telefonen enn på PCene sine (der de i større grad forventer "virus" eller malware, og gjerne har antivirusprogramvare installert).

 

 

Edit: Om sikkerhetsproblemene er rent tekniske i Android OS-et, resultat av fragmentering og manglende utrulling av oppdateringer, resultat av anarkiet i Android Market, eller folk flest sin likegyldighet mht til å finlese informasjon før de installerer en app fra det de i sin naivitet antar er en trygg kilde, det er vel nesten ett fett for brukerne som av en eller annen grunn får sin telefon kompromittert.

 

Rullehjulet er nok like kjekt i Sense som i iOS, ja... ;)

http://www.sitemotif.com/2011/07/mobile-date-time-interactions-android-vs-iphone/

Endret av Newton
Lenke til kommentar

Joda, DroidDream-saken var stygg - det er ingen tvil om det. Men det er altså fortsatt bare en sak. Veldig mange ulike artikler lages imidlertid, gjerne med ekspertuttalelser fra folkene bak lookout og konkurrentene, om stadig ny malware, virus og trojanere, når det er snakk om produkter som ikke er noen av delene (i hvert fall ikke virus eller trojanere). Artikkelen du linker til handler forøvrig ikke om at den kan roote telefoner, hvis det var derfor du inkluderte den - men jeg er fullt klar over at den hadde muligheten til å kjøre rageagainstthecage, som var metoden man brukte for å roote telefoner med overlegg og brukernes vitende og vilje også.

 

Artikkelen (og blogposten det linkes til) har forøvrig en gigantisk mangel når det gjelder hvorvidt dette er et sikkerhetsbrudd i Android eller ikke: den sier ikke noe om hvilke tillatelser programmet ber om å få: Igjen, det er ikke noe nytt at programmer som ber om tilgang til telefonidentitet, kontakliste, sms-innboks og sms-utboks, FÅR disse tilgangene. Programmet var heller ikke i Android Market men i en tredjeparts kinesisk markedsplass. Å laste ned et program derifra og deretter gi det denne typen tillatelser er vel et kremeksempel på PEBCAK?

 

Og nei, kun den ene av linkene dine inneholdt noe som helst slags info om konkret malware, (som viste seg å ikke være hverken et virus eller en trojaner, noe det har blitt feilaktig påstått å være). Zdnet-artikkelen var jo en verdiløs liten sak uten hverken detaljer eller informasjon som hadde noe verdi. Ved å klikke på linken viser det seg igjen at det er snakk om "DroidDreamLight", som inntil noen linker til en teknisk gjennomgang som forklarer hvordan denne kvalifiserer til å være et virus eller en trojaner, i motsetning til en ondsinnet applikasjon som bare gjør det du gir den tillatelse til, ikke er hverken et virus eller en trojaner.

 

På telefonen har jeg to tredjepartsprogram som kan lese sms-ene mine. Det ene har ikke internett-tilgang, og det andre er WaveSecure. Hvis Ola Dunk installerte et program på PC-en, og operativsystemet spurte om programmet skulle få tilkgang til kontaktlisten hans, all eposten hans, sende epost fra kontoen hans, motta epost fra kontoen hans, sende sms som koster penger, lese sms, endre sms og ravkjøre ham uten vaselin mens den hadde tilgant til webkameraet og full internettilgang - hadde Ola Dunk trykket på Ja-knappen? Jeg tror ikke det. Hvorfor skal han få lov å være dummere på telefonen?

 

Merk: Dette er klare, tydelige advarsler på et eget skjermbilde, ikke gjemt inne i en eviglang EULA.

 

Men sannsynligvis får de det nok som de vil, de som vil ha et tryggere Market - enten i form av en troverdig tredjepart som f.eks. Amazon, eller gjennom at google merker applikasjoner som på grunn av sin funksjonalitet er umulig å teste som trygge. I tilleg til en eller annen sikker (sikrere) identiteskontroll av opplaster.

  • Liker 1
Lenke til kommentar


Jeg har fjernet haugevis av multisitater fra tråden. Vennligst respekter vår netikette. Videre multisitater vil bli slettet, og sendt på PM til den som poster med beskjed om å prøve igjen. Man skal aldri sitere mer enn en post bakover i tid, og lange poster skal ikke siteres i sin helhet, men deles opp.

Lenke til kommentar

@NgZ: Orker ikke å gå inn på en lang diskusjon om detaljer og teknikaliteter i alle disse malware-eksemplene i Android. Jeg har skrapt litt i overflaten av det som er et omfattende problem, like it or not - men det virker godt nok dokumentert fra en mengde relativt seriøse kilder til at jeg tar essensen i trusselbildet for god fisk.

 

Definisjonen på en trojaner er så vidt jeg vet at det er et program som gjør noe annet (i stedet for eller i tillegg til) enn det det utgir seg for å skulle gjøre, da gjerne i ond hensikt. Om jeg må skrive inn et passord for å installere en trojaner på min datamaskin, så er det like fullt en trojaner - selv om det er et element av PEBKAC involvert. Dersom du må gi en SMS-app tillatelse til å sende SMS og diverse andre ting i Android, så er det like fullt en trojaner hvis det sender SMS til 40$ pr stk. på egen hånd - det er i så fall ondsinnet programvare kamuflert som noe annet.

 

Ola Dunk er dummere mht. sikkerhetstrusler rettet mot telefonen - ikke spør meg hvorfor. Ola Dunk har kanskje oppfattet at hvis han ikke gir en legitim Android-app tilgang til det den spør om - selv om han gjerne ikke helt skjønner hvorfor eller hvordan - så vil den ofte ikke fungere helt som foreskrevet. Ola Dunk svarer derfor OK på alt, for "sikkerhets" skyld...ellers vil nok den fine nye appen ikke funke som den skal... ;)

Endret av Newton
Lenke til kommentar

«Security by obscurity« er på ingen måte mer sikkert enn et åpent system. I følge din påstand, skulle jo Windows vært det sikreste operativsystemet til datamaskiner. Og det er det jo ikke.

Mimre over den lange perioden der MS ikke våget å kjøre eget nettsted på sitt eget serverOS. Skulle gjerne vært på en salgspresentasjon en gang og spurt en selger hvorfor, det må ha vært utfordrende å svare på.

Det er jo et killer argument når du skal prøve å selge produktet ditt til andre. :)

Lenke til kommentar

Michael DeGusta lagde en fin oversikt over oppdateringshistorikken til Android i forhold til iPhone. Jeg la til Windows Phone i listen, men mest som en spøk.

Link til bildet: http://twitpic.com/76mz54

 

Sikkert fint. Men du er klar over at listen din inneholder operatørbrandet modeller? Altså er det T-Mobile, Verizon, AT&T som bremser oppdateringsfrekvensen og ikke Google. Etter hver stor og liten release av Android må operatørene teste og spesialtilpasse Android for hver eneste modell. Dette er også gamle data. F.eks så har HTC og Sony Ericsson sluppet verktøy for at eiere skal kunne gjøre oppdatere mobilene selv.

Lenke til kommentar

Definisjonen på en trojaner er så vidt jeg vet at det er et program som gjør noe annet (i stedet for eller i tillegg til) enn det det utgir seg for å skulle gjøre, da gjerne i ond hensikt.

En trojaner er programvare som åpner enheten/maskinen for overtakelse eller kjøring av ondsinnet kode utenfra, uten brukerens viten/aksept eller liknende atferd. Jada, om man vil krisemaksimere kan man bruke din definisjon, men da er samtlige datamaskiner i verden som har enten Windows eller MacOSX trojanere også, de inneholder alle funksjonalitet som "ringer hjem" mer enn du aktivt gir dem tillatelse til, åpne porter, autmoatiske delingstjenester og nettfunksjonalitet m.m. Da blir hele begrepet fullstendig meningsløst.

 

Et sms-sendeprogram må nå en gang få lov å sende sms, og så må man velge å være veldig selektiv med hvilke applikasjoner som får lov til dette - Det er veldig populært blandt de som vil selge antivirusprogramvare å postå at slike ting virus, eller bruke begreper som malware og trojaner for å få brukere til å få panikk og tenke at å, nei, de må ha antivirus! Det hadde vært veldig mye ærligere av Lookout å si at programmet deres var ment å fungere som et filter mellpom slemme apps på market og enheten din, i stedet for å få det til å høres ut som om hver minste ting var en total ondsinnet overtakelse av enheten din, og at Android i seg selv er så fryktelig usikkert at dette er noe du trenger uansett hvordan du bruker telefonen.

 

Men da risikerer de jo at noen påpeket "Men programmene deres sjekker bare ved installasjon, og EN gang i uken etterpå. Det vil si at Google vil fjerne en applikasjon fra market OG enheten min (via kill switch) flere dager før Lookout gjør det." Det er mye bedre å forsøke å gi inntrykk av at Androidenheter er som upatchede xp-instrallasjoner som blir infisert av å ha nettilkobling, av skumle kinesiske hackere.

 

Uansett blir det et dårlig argument for at det er dårlig sikkerhet på Android at programmer som kan lese sms og har full nettilgang, kan laste opp sms.ene dine dit de vil. Det gjør ikke Android til en usikker platform, og det rammer ikke sikkerheten på Android før en applikasjon bryter ut av begrensningene Android setter for applikasjoner, slik kun den originale Droid Dream har gjort. Det er ikke en gang noe man kan teste før man slipper programmet inn i Market, med mindre man krever at kildekoden sendes inn (det gjør ikke Aplle heller) - programmet kan f.eks. være innstilt til å kun gjøre dette en bestemt dato, en bestemt dag i uken etc. I de senere Market-versjonene blir du eksplisitt advart når en applikasjon får tilgang til tjenester som bruker penger (ringe, sende sms) i tillegg til de konkrete advarslene om tilgang til å sende sms eller ringe numre. Det er så langt man kan komme, uten å sperre helt for tredjepartapps som tilbyr den type funksjonalitet. Eller har du noen god løsning.

Lenke til kommentar

En undersøkelse av anerkjente Wall Street Journal er jo av interesse i denne sammenheng:

 

A WSJ Investigation finds that iPhone and Android apps are breaching the privacy of smartphone users

 

"Among the apps tested, the iPhone apps transmitted more data than the apps on phones using Google Inc.'s Android operating system. Because of the test's size, it's not known if the pattern holds among the hundreds of thousands of apps available."

 

"Apple says iPhone apps "cannot transmit data about a user without obtaining the user's prior permission and providing the user with access to information about how and where the data will be used." Many apps tested by the Journal appeared to violate that rule, by sending a user's location to ad networks, without informing users. Apple declines to discuss how it interprets or enforces the policy"

 

link:

http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html

Lenke til kommentar
×
×
  • Opprett ny...