Artikel top billede

Alle advarede om kritiske Stagefright-sårbarheder i Android: Her afsløres antallet af reelle ofre

De kritiske Stagefright-sårbarheder i Android fyldte meget i sikkerhedsdebatten i 2015. Nu afsløres det højst overraskende antal af reelle ofre.

Der er ikke noget nyt i, at der opdages og advares om sårbarheder i Android-platformen. Sidste år skilte især én type sårbarhed sig dog ud.

Adskillige sikkerhedsfirmaer og -eksperter advarede om kritiske huller i multimedie-motoren Stagefright i Android, der blandt andet kunne udnyttes via MMS'er.

Faktisk var opmærksomheden om Stagefright så massiv, og advarslerne så alvorlige, at en række Android-producenter valgte at ændre sikkerhedspraksis.

Det betyder, at de nu i langt højere grad end tidligere udsender sikkerhedsopdateringer til brugerne helt automatisk.

Læs også: Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis

Men mens Stagefright altså fyldte ganske meget i Android-sikkerhedsdebatten i 2015, så er der faktisk ikke registreret nogen konkrete, succesfulde angreb mod Android-brugere med udgangspunkt i Stagefright.

Som i nogen angreb overhovedet.

Det fremgår af Googles netop offentliggjorte årsrapport om sikkerheden på Android (PDF).

"Der blev identificeret adskillige nye 'remote code execution'-sårbarheder i 2015, de mest prominente var Stagefright-sårbarheder," oplyser selskabet.

Google skriver i rapporten, at man i 2015 fra sikkerhedsfirmaet Zimperium modtog konkrete, produkt-specifikke demonstrationer af, hvordan Stagefright kunne udnyttes af it-kriminelle.

"Siden da har vi set en række succesfulde 'exploit proof-of-concepts' demonstreret af sikkerhedsforskere, inklusiv Googles eget Project Zero. Vi har også modtaget adskillige rapporter om, at exploits til Stagefright er inkluderet i exploit toolkits."

"Mens dette bliver skrevet, har vi ikke observeret eller er blevet opmærksom på nogen succesfulde forsøg på at udnytte Stagefright-sårbarheder på reelle bruger-enheder," lyder den noget overraskende status fra Googles side.

Langt fra test-labs til virkeligheden

En melding som denne kan naturligvis bunde i, at Google ganske enkelt ikke har kendskab til konkrete, succesfulde angreb med udgangspunkt i Stagefright.  

Med de mange hundrede millioner Android-enheder, der er i brug rundt omkring i verden, forekommer det dog noget usandsynligt, at ikke ét eneste angreb skulle være blevet spottet af Googles folk.

Derfor tyder noget på, at denne nye type sårbarheder i Android måske nok teoretisk kan udnyttes af de it-kriminelle - men ikke bliver det (eller i hvert fald i et meget begrænset omfang) uden for sikkerhedseksperternes test-labs.

"Vi fortsætter med at overvåge mange kanaler for tegn på udbredte eller målrettede angreb mod bruger-enheder," lyder det fra Google i Android-sikkerhedsrapporten.

Læs også:

Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis

Går Google over stregen med bundling af Android og egne apps?

Android-opdateringer leveres i sneglefart: Så langsomt går det med de nye versioner




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

19. august 2025 | Læs mere


Cyber Security Summit 2025 i Jylland

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

21. august 2025 | Læs mere


AI i det offentlige: Potentiale, erfaringer og krav

Hør erfaringerne med at anvende AI til at transformere og effektivisere processer i det offentlige – og med at sikre datakvalitet, governance og overholdelse af retningslinjer.

27. august 2025 | Læs mere