Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Et kritisk hul i Android kan åbne en ladeport til alle data og kontrollen over din mobiltelefon. Der skal ikke andet end én specieldesignet MMS til at skrælle sikkerhedshullet op.

Tilbage i maj blev der fundet en alvorlig sikkerhedsfejl i Apples mobilstyresystem iOS, hvor en enkelt og helt specielt udformet sms kunne få en iPhone til at gå i sort.

Nu er den så gal med Android-systemet, hvor sikkerhedsekspert Joshua Drake fra it-sikkerhedsfirmaet Zimperium har fundet et kritisk hul i multimediemotoren Stagefright.

At sårbarheden hidrører Stagefright betyder, at en hacker ifølge Joshua Drake blandt andet kan sende en MMS eller narre en Android-bruger ind på en hjemmeside med indlejret og ondsindet multimedie-indhold.

Herefter kan hackeren tilluske sig adgang til at eksekvere kode, overtage kontrollen og fjerne indhold på offerets telefon.

Joshua Drake mener, at hullet angår alle Android-brugere fra version 2.2 og op til den nyeste version, der hedder 5.1.x- måske bedre kendt som Lollipop. Det svarer til, at op mod 95 procent af alle Android-telefoner er ramt af sårbarheden.

Hvilken konkret multimedieindhold eller MMS, der er tale om, holder sikkerhedsekspert Joshua Drake tæt ind til kroppen, indtil han skal på scenen på sikkerhedskonferencen Black Hat, der løber af stablen i starten af august.

Det skriver Computerworlds amerikanske søstermagasin PC World.

Tager lang tid at lappe
Joshua Drake opdagede sikkerhedshullet for flere måneder siden, og i april advarede han Google om sit fund.

Android-selskabet Google tog tilsyneladende truslen meget seriøst, og selskabet var hurtigt ude med en sikkerhedslap til sine hardware-leverandører af Android-telefonerne.

Selvom både Johhua Drake og Google således tilsyneladende har reageret hurtigt med at få lukket hullet, er den danske sikkerhedsekspert Jens Christian Høy Monrad fra it-selskabet FireEye ikke helt tryg ved situationen.

"Der er jo rigtig mange varianter af Android-systemet, hvilket betyder, at en del hardware-firmaer skal have opdateret deres firmware og opdateringen ud til brugerne. Det kan erfaringsmæssigt tage en god portion tid," siger Jens Christian Høy Monrad til Computerworld.

Kan ramme businessbrugere
Især anser han business-brugere af Android-telefoner som et særligt udsat segment for sikkerhedshullet, da de kan rende rundt med forretningshemmeligheder på en ulappet Android-telefon. Især er det kritisk, hvis de er på en ældre telefon, som ikke kan sikkerhedslappes.

"Almindelige Android-brugere har i første omgang ikke det store at frygte," beroliger Jens Christian Høy Monrad med.

Han er dog tryg ved, at sikkerhedseksperten Joshua Drake (endnu) ikke har offentliggjort særlig meget information om det kritiske sikkerhedshul i Stagefright.

"Offentligheden kan ikke se konkret, hvad der er fundet. Så med mindre man selv har researchet sig frem til angrebsmetoden, så er sikkerhedshullet meget, meget svært at udnytte i egentligt angreb. Altså, med mindre man besidder de samme kompetencer som personen, der fandt hullet," forklarer Jens Christian Høy Monrad.

Hvor tjener jeg mest?
Den danske sikkerhedsekspert afviser samtidig ikke, at der kan sidde lykkejægere ude på nettet og holde øje med Stagefright-sårbarheden.

"Især vil vi nok se en hel række opportunistiske angreb, når proof-of-concept bliver offentliggjort på Black Hat-sikkerhedskonferencen," vurderer Jens Christian Høy Monrad.

Han siger, at hvis ikke dusøren for at finde den slags huller er høje nok, kan pengedrevne sjæle godt sidde med overvejelser om, hvorvidt det ikke kunne være mere rentabelt at udnytte hullet frem for at sladre til Google og andre interessenter omkring det.

"Lige nu er det svært at vide, om der allerede er udviklet skadelig kode til at udnytte hullet, men vi bliver nok en del klogere, når vi har proof of concept til august," siger Jens Christian Høy Monrad.

Han tilføjer, at selvom man ikke 100 procent kan forhindre angreb, kan man med fordel konfigurere sin Android-telefon til ikke at automatisk afspille MMS i eksempelvis Google Hangouts og andre apps.

"Det kan stoppe at man ufrivilligt downloader malware, der bliver leveret via dette sikkerhedshul," fortæller Jens Christian Høy Monrad. 

Selvsamme sikkerhedshul er også fundet i Mozillas Firefox-browser til Android, Mac og Windows samt på SilentCircles Blackphone.

Både Mozilla og SilentCirkle har på nuværende tidspunkt lukket for sikkerhedshullet ifølge PC World.

Læs også:

Stor opdatering på vej: Nu kan Android-ure snakke sammen

Mobil og desktop: Her er danskernes yndlings-styresystemer


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få mere fart på dit internet: Optimering af WiFi, 4G og kablede forbindelser

Bliv klogere på, hvordan du får mere fart på dit netværk og hør om optimering af både WiFi, 4G og kablede forbindelser. Kom og få indsigt i de nyeste og mest effektive værktøjer, der kan bruges til at optimere og kvalitetssikre netværk. Du bliver også introduceret til konkrete koncepter og løsninger, der kan tages i brug, når medarbejderne er på farten. Herunder spiller både økonomi, brugervenlighed og ikke mindst it-sikkerhed en afgørende rolle.

21. september 2017 | Læs mere


Kompetera SolutionsDay 2017

Som it-professionel i dag forventes du at have et bud på fremtiden, fod på sikkerheden og fuldt styr på driften. På Kompetera SolutionsDay 2017 får du inspiration og svar - kom og hør spændende indlæg fra blandt andre Jakob Scharf tidligere chef for PET og Ken Bonefeld Nielsen, head of corporate security & ACA Department hos Sony Mobile Communications.

05. oktober 2017 | Læs mere


Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

10. oktober 2017 | Læs mere






Computerworld
De 30 største danske it-virksomheder: Her er antallet af ansatte - og hvor mange penge, der bruges på løn
Top 100: Computerworld har nærstuderet årsregnskaberne fra 499 danske it- og televirksomheder og kan her bringe listen med de 30 største arbejdspladser. Se antallet af ansatte og få et indblik i, hvor mange penge virksomhederne bruger på løn til medarbejderne.
CIO
Du risikerer at blive hægtet helt af, hvis ikke dit netværk bliver fremtidssikret - og det haster
Klumme: Hver dag går mere 168,1 petabyte gennem netværket hos AT&T, hvilket svarer til 130 millioner timers video i HD. Det viser, hvor store krav der i dag stilles til en virksomheds netværk. Er du klar til det?
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
Se listen: Disse it-folk bliver ansat på stedet - cheferne skriger efter helt bestemte it-kompetencer
Der er en markant mangel på it-folk med helt bestemte kompetencer samtidig med, at it-cheferne er i gang med at øge bemandingen i it-organisationerne. Se listen med de mest efterspurgte it-kompetencer netop nu.
White paper
Sådan får mindre virksomheder ny it-infrastruktur i topklasse til lavpris
Digitaliseringen buldrer frem i erhvervslivet, og store virksomheder har travlt med at investere i nye it-løsninger for at placerer sig bedst muligt i en konkurrencesituation, der bliver stadig mere skarp. Det mærker man også i de mindre virksomheder, men for dem er indkøb og vedligeholdelse af et it-system ofte en uoverskuelig og kostbar opgave, der tilmed kræver særlige kvalifikationer, som virksomheden måske ikke selv besidder. Her kan ny, moderne hyperkonvergeret it-teknologi være løsningen. Læs i dette whitepaper om fordelene og detaljerne i en komplet, nøglefærdig it-infrastruktur fra Lenovo, Intel og Nutanix, som tilmed er prismæssigt meget gunstig.