Artikel top billede

Google fejler i stor sikkerhedsopdatering - din Android-telefon kan være i fare

Android-systemet er ramt af to alvorlige sikkerhedsudfordringer, som Google har kendt til i månedsvis. Alligevel svæver sårbarhederne rundt uden nogen form for effektive sikkerhedslapper.

Det frygtede Stagefright-sikkerhedshul i Android-systemet er blevet lappet, men ikke lappet godt nok.

Det er konklusionen fra sikkerhedsselskabet Exodus, der har gennemgået Stagefright-sikkerhedsrettelsen fra Google.

Sikkerhedsrettelsen skulle ellers have stoppet muligheden for blandt andet at sende Android-folket en MMS, der kan give adgang til deres telefoner.

Du kan læse mere om den frygtede Stagefright-sårbarhed her: Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon.

Omkring 950 millioner telefoner med Android 2.2 eller nyere menes at være i farezonen for Stagefright-angreb, der blev opdaget for flere måneder siden.

Dermed har Google også brugt mere end 120 dage på at få lukket sårbarheden, hvilket er en måned mere end selskabets egen deadline på 90 dage, skriver Exodus i et blogindlæg.

Fire linjer kode

Efter den store sikkerhedsbrist blev opdaget, har Google ellers sammen med en række store Android-hardwarespillere været ude og love, at der vil blive strammet op på sikkerheden i Android-miljøet ved at udsende hyppigere sikkerhedsopdateringer.

Det kan du læse mere om her: Kritisk Android-sårbarhed blev et wake up-call: Flere top-producenter ændrer sikkerhedspraksis.

De løfter bliver dog ifølge Exodus-bloggen ikke indfriet i dette tilfælde.

"Sikkerhedslappen er fire linjer kode, og den var (formentligt) gennemgået af Google-ingeniører, inden den blev sendt afsted. De fleste tror, at sikkerhedsløsningen beskytter dem, men det gør den faktisk ikke," lyder det på bloggen.

Samtidig gør det ikke situationen bedre, at Zimperium, der først opdagede usikkerheden, har udsendt en applikation, der gennemsøger telefonen og i mange tilfælde fejlagtigt sender en besked tilbage til brugeren om, at den pågældende telefon ikke er ramt af sårbarheden.

"Det kan faktisk føre til en falsk følelse af tryghed blandt brugerne" skriver Exodus, som nu er gået sammen med Zimperium om at forbedre den Stagefright-undersøgende applikation.

Samtidig får Google også et svirp med den virtuelle pisk for ikke være skarpe nok til at udsende korrekte sikkerhedsrettelser.

"Hvis Google ikke kan demonstrere evnen til med succes at afhjælpe en offentliggjort sårbarhed, der rammer deres kunder, hvad håb har resten af os så?" lyder det retoriske spørgsmål på Exodus-bloggen.

Flere Android-usikkerheder

Udover Stagefright-sikkerhedsrettelsen, der lige nu svæver i vinden, har sikkerhedsfolk i denne uge fundet en måde at omgå Androids applikations-sandbox.

Denne sandbox er blandt andet bygget for at isolere diverse apps fra at stjæle data fra hinanden.

Sårbarheden blev opdaget tilbage i marts, mens Google løbende har bedt om tid til fejlrettelser, inden sårbarheden så blev offentliggjort i denne uge. Tilsyneladende uden, at Google har fikset problemerne.

Det skriver ZDNet, som citerer it-sikkerhedsjournalisten Dan Goodin for at påpege, at Google med de seneste dages udvikling har fået et par gevaldige mavepustere på sikkerhedsfronten.

Han påpeger, at der heldigvis ikke er aktuelle tegn på, at sårbarhederne bliver udnyttet aktivt, men alle Android-brugere opfordres til at være på vagt, så længe hullerne ikke er fikset.

Læs også:
Efter 20 år i it-sikkerhedsbranchen: Her er fem barske sandheder fra kendt sikkerhedsekspert




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI i praksis: Fokus på teknologi og best practice

Tag med os på en rejse ind i AI’s verden, hvor vi udforsker anvendelsesmulighederne og belyser, hvordan AI kan gøre en positiv forskel. Vi kigger nærmere på de teknologier og platforme, som det kan give mening for din virksomhed at satse på, og eksperterne giver dig gode råd til, hvordan man kan arbejde innovativt og agilt med kunstig intelligens-løsninger.

19. august 2021 | Læs mere


MS Power Platform - hvad kan det for dig?

Med Microsoft Power Platform kan virksomhederne både visualisere og dele deres data helt uden kendskab til at kunne kode og digitalisere arbejdsgange. Hør hvordan en række danske virksomheder anvender platformen i store dele af virksomheden – og med succes.

24. august 2021 | Læs mere


Opgøret med legacy-systemer: Få styr på mulighederne, planen og businesscasen

I en verden hvor alt forandres konstant, og hvor kravene til virksomhedernes digitale formåen vokser, er der stadig mange organisationer og virksomheder, der bliver hæmmet af deres legacy-systemer. Det kan være en lang og hård rejse at afskaffe disse systemer, men på sigt kan virksomhederne høste frugt af deres arbejde.

25. august 2021 | Læs mere






Premium
Derfor afviser GK at betale løsesum efter stort ransomware-angreb: Dansk afdeling med 400 ansatte også berørt af hackerangreb
I forrige weekend blev den nordiske entreprenørvirksomhed GK ramt af et stort ransomware-angreb, der har berørt selskabets interne systemer og lækket personlige oplysninger. Men GK afviser på det kraftigste, at ville indlede forhandling med hackerne om frigivelse af data. "Vi anser angrebet for at være en kriminel handling og har anmeldt forholdet til politiet," oplyser GK til Computerworld.
Computerworld
Gigantisk kollektivt nedbrud rammer flere internationale hjemmesider
Igen var flere internationale hjemmesider ude af drift. En fejl ramte over 50 af de største internationale websites tordag aften. Se alle detaljer on nedbruddet her.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
Job & Karriere
Så meget kan du tjene: Disse stillinger giver den højeste løn i den danske it-branche lige nu
Du skal have ledelsesansvar, hvis du vil helt tops i lønhierakiet i den danske it-branche, viser nye tal. Se hvor meget du kan tjene i de stillinger i it-branchen, der giver den højeste månedsløn lige nu.
White paper
Sådan prioriterer IT-sikkerhedschefernes indsatsen i 2021
I denne undersøgelse fra F-Secure giver knap 2.000 ledende personer på tværs af hele Europa deres bud på, hvor de vil prioritere indsatsen i år – og hvad de opfatter som virksomhedernes mest presserende udfordringer på cybersikkerhedsfronten.