Gå til innhold

Gigantisk sikkerhetshull i Android


Anbefalte innlegg

 

 

Dette er Androids STORE svakhet som jeg ser det. Man kan faktisk kjøpe en helt ny telefon som ikke har nyeste versjon Android, og som heller aldri kommer til å få det. Som kanskje ikke blir oppdatert en eneste gang.

Helt enig i dette, men sånn blir det når det er veldig mange ulike varianter og alle produsentene ønsker å gjøre sine tweaks med programvaren for å skille seg ut. Som datanerd syns jeg all konfigureringen jeg kan få gjort i Android er fantastisk, men det er synd jeg må anbefale Nexus til de som vil ha det siste nye. Eller iPhone.

Vet ikke hvordan Windows Phone ligger an, hører det er en del styr med at oppdateringer må gå via teleoppratørene, men det er kanskje bare i statene?

Alle Windows Phone får samme oppdatering, eneste operatørene kan gjøre er å forhåndsinnstallere apper, som for øvrig blir automatisk lastet ned når man setter inn simkortet.

Lenke til kommentar
Videoannonse
Annonse
Gjest Slettet+123456adf

Hahah, typisk Android!

Blir flau når jeg kjøper en S5 til 5000, og får levert akkuratt dette.

 

s5 har kitkat... hvorfor bli flau over dette? er jo ikke akkurat som hvem som helst kan komme seg inn på telefonen uten videre.. man må være ganske borte til å laste ned slike programmer uansett som gir tilgang til ALT uten å legge merke til dette før man trykker "Accept" etter "installer" via Play Store da...

Lenke til kommentar

Det tragiske her er at det er opp til hver enkelt mobilprodusent om de vil pushe ut en oppdatering, og at de som er mest utsatt for denne typen angrep er de som neppe får oppdateringer (lite kunnskapsrike brukere med eldre telefoner som klikker "ja" til alt).

 

Når det gjelder sikkerhet er det ingen tvil om at det er en fordel at produsenten av software kan pushe oppdateringer direkte til alle aktive enheter.

Endret av Audun_K
  • Liker 1
Lenke til kommentar

Det tragiske her er at det er opp til hver enkelt mobilprodusent om de vil pushe ut en oppdatering, og at de som er mest utsatt for denne typen angrep er de som neppe får oppdateringer (lite kunnskapsrike brukere med eldre telefoner som klikker "ja" til alt).

Når det gjelder sikkerhet er det ingen tvil om at det er en fordel at produsenten av software kan pushe oppdateringer direkte til alle aktive enheter.

 

Når det kommer til slike sikkerhetshull, så er det faktisk ingenting som er tragiskt lengere når det kommer til Android. Fordi i dag, så vil slike sikkerhetshull bli tettet via en sikkerhetsoppdatering som går via Google Play-services som vil tette hullene.

 

Dette er fordelen med Android i dag med at man ikke trenger den nyeste Android versjonen for å få de nyeste sikkerhetsoppdateringene.

Lenke til kommentar

 

Det tragiske her er at det er opp til hver enkelt mobilprodusent om de vil pushe ut en oppdatering, og at de som er mest utsatt for denne typen angrep er de som neppe får oppdateringer (lite kunnskapsrike brukere med eldre telefoner som klikker "ja" til alt).

 

Når det gjelder sikkerhet er det ingen tvil om at det er en fordel at produsenten av software kan pushe oppdateringer direkte til alle aktive enheter.

 

Når det kommer til slike sikkerhetshull, så er det faktisk ingenting som er tragiskt lengere når det kommer til Android. Fordi i dag, så vil slike sikkerhetshull bli tettet via en sikkerhetsoppdatering som går via Google Play-services som vil tette hullene.

 

Dette er fordelen med Android i dag med at man ikke trenger den nyeste Android versjonen for å få de nyeste sikkerhetsoppdateringene.

 

 

Google Play kan patche noen sikkerhetshull, men ikke alle. Hvis de er en del av systemet så må det gå via produsenten av mobilen/nettbrettet som må tilpasse patchen den spesifikke modellen.

Denne patchen som Google sendte til produsentene i april går ikke via Play, den går kun via produsentene.

Endret av Frobe
  • Liker 1
Lenke til kommentar
Gjest Slettet+5132

Det er en feil i artikkelen:

 

Android 4.4 er imidlertid immun mot et slikt angrep, da denne versjonen av operativsystemet benytter en annen løsning enn Adobes usikre komponent.

 

Dette er ufullstendig forklart. Det er ikke Adobes komponent som er usikker, men det faktum at alt som utgir seg for å være fra Adobe får fulle rettigheter (http://bluebox.com/technical/android-fake-id-vulnerability/):

 

More interestingly, very specific signatures are given special privileges in certain cases. For example, an application bearing the signature (i.e. the digital certificate identity) of Adobe Systems is allowed to act as a webview plugin of all other applications, presumably to support the Adobe Flash plugin.

 

Det er altså Androids behandling av Adobes komponent som gjør det hele usikkert. Hvis Android-systemet ser programkode som sier at det er fra Adobe, gir det plutselig altfor store rettigheter til denne programkoden.

 

Forsåvidt er ikke årsaken sikkerhetsproblemet at ting fra Adobe får så store rettigheter. For å sitere bluebox igjen: "Overall, this is an appropriate use of digital signatures in a system that supports the notion of PKI digital certificate identities."

 

Problemet er at det ikke er en robust sjekk på signaturen til jar-filer (programmer) som blir installert. Man kan med andre ord gi seg ut for å være hvem som helst (Adobe, Android, NFC,...) og systemet vil godta det:

 

The Android package installer makes no attempt to verify the authenticity of a certificate chain; in other words, an identity can claim to be issued by another identity, and the Android cryptographic code will not verify the claim

 

Jeg synes dette burde ha kommet vesentlig klarere frem i artikkelen.

 

Artikkelen mangler en seksjon om "Hvordan man kan bli rammet". Alle artikler av denne formen bør ta for seg dette. Er vanlig nettsurfing farlig? Kan man bli rammet ved å lese epost? Dette er spørsmål som bør besvares i en artikkel om sikkerhetsfeil. I dette tilfellet må man faktisk installere ondsinnet programvare for å bli rammet. Google har sagt at de har pløyd igjennom Google Play uten å finne noen programmer som utnytter denne svakheten (http://www.theguardian.com/technology/2014/jul/29/android-fake-id-flaw-google-patch):

 

Google Play and Verify Apps have also been enhanced to protect users from this issue. At this time, we have scanned all applications submitted to Google Play as well as those Google has reviewed from outside of Google Play and we have seen no evidence of attempted exploitation of this vulnerability

 

Man må altså installere programvare som utnytter dette sikkerhetshullet. Hvis programvaren utnytter dette er det helt katastrofalt, selvfølgelig. Det er likevel en stor forskjell på om man må installere noe eller at telefonen er sårbar bare man har den på nett (som et eksempel), og artikkelen bør ta for seg dette.

Endret av Slettet+5132
Lenke til kommentar

Update: We've updated this article to reflect confirmation from Google that both the Play Store and "verify apps" feature have indeed been updated to address the Fake ID bug. This means the vast majority of active Google Android devices already have some protection from this issue, as discussed later in the article. Google's statement in full can be found at the end of this post.

 

http://www.androidcentral.com/fake-id-and-android-security-updated

Lenke til kommentar

(...)

 

Man må altså installere programvare som utnytter dette sikkerhetshullet. Hvis programvaren utnytter dette er det helt katastrofalt, selvfølgelig. Det er likevel en stor forskjell på om man må installere noe eller at telefonen er sårbar bare man har den på nett (som et eksempel), og artikkelen bør ta for seg dette.

 

Takk for gode og fyldige tilbakemeldinger! Enig i at det var litt uklart hvordan man blir rammet, og har nå oppdatert saken slik at dette kommer bedre frem, samt litt andre endringer i teksten :)

Lenke til kommentar

Nå er det snart på tide at Google tar tak i disse problemene. De burde ta seg av oppdateringer av Android på alle modeller som er kraftige nok til å oppgraderes. Kan ikke stole på produsentene når de bare oppdaterer i et par år. Det er slett ikke alle som bytter mobil hvert år. De burde oppdatere android via google play og så kunne produsentene gjøre det samme med drivere/launcher/bloatware. Se på Apple og MS. Der kommer oppdateringene fortere.

  • Liker 1
Lenke til kommentar

Nå er det snart på tide at Google tar tak i disse problemene. De burde ta seg av oppdateringer av Android på alle modeller som er kraftige nok til å oppgraderes. Kan ikke stole på produsentene når de bare oppdaterer i et par år. Det er slett ikke alle som bytter mobil hvert år. De burde oppdatere android via google play og så kunne produsentene gjøre det samme med drivere/launcher/bloatware. Se på Apple og MS. Der kommer oppdateringene fortere.

 

http://www.androidcentral.com/fake-id-and-android-security-updated

Lenke til kommentar
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...