Artikel top billede

Alle advarede om kritiske Stagefright-sårbarheder i Android: Her afsløres antallet af reelle ofre

De kritiske Stagefright-sårbarheder i Android fyldte meget i sikkerhedsdebatten i 2015. Nu afsløres det højst overraskende antal af reelle ofre.

Der er ikke noget nyt i, at der opdages og advares om sårbarheder i Android-platformen. Sidste år skilte især én type sårbarhed sig dog ud.

Adskillige sikkerhedsfirmaer og -eksperter advarede om kritiske huller i multimedie-motoren Stagefright i Android, der blandt andet kunne udnyttes via MMS'er.

Faktisk var opmærksomheden om Stagefright så massiv, og advarslerne så alvorlige, at en række Android-producenter valgte at ændre sikkerhedspraksis.

Det betyder, at de nu i langt højere grad end tidligere udsender sikkerhedsopdateringer til brugerne helt automatisk.

Læs også: Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis

Men mens Stagefright altså fyldte ganske meget i Android-sikkerhedsdebatten i 2015, så er der faktisk ikke registreret nogen konkrete, succesfulde angreb mod Android-brugere med udgangspunkt i Stagefright.

Som i nogen angreb overhovedet.

Det fremgår af Googles netop offentliggjorte årsrapport om sikkerheden på Android (PDF).

"Der blev identificeret adskillige nye 'remote code execution'-sårbarheder i 2015, de mest prominente var Stagefright-sårbarheder," oplyser selskabet.

Google skriver i rapporten, at man i 2015 fra sikkerhedsfirmaet Zimperium modtog konkrete, produkt-specifikke demonstrationer af, hvordan Stagefright kunne udnyttes af it-kriminelle.

"Siden da har vi set en række succesfulde 'exploit proof-of-concepts' demonstreret af sikkerhedsforskere, inklusiv Googles eget Project Zero. Vi har også modtaget adskillige rapporter om, at exploits til Stagefright er inkluderet i exploit toolkits."

"Mens dette bliver skrevet, har vi ikke observeret eller er blevet opmærksom på nogen succesfulde forsøg på at udnytte Stagefright-sårbarheder på reelle bruger-enheder," lyder den noget overraskende status fra Googles side.

Langt fra test-labs til virkeligheden

En melding som denne kan naturligvis bunde i, at Google ganske enkelt ikke har kendskab til konkrete, succesfulde angreb med udgangspunkt i Stagefright.  

Med de mange hundrede millioner Android-enheder, der er i brug rundt omkring i verden, forekommer det dog noget usandsynligt, at ikke ét eneste angreb skulle være blevet spottet af Googles folk.

Derfor tyder noget på, at denne nye type sårbarheder i Android måske nok teoretisk kan udnyttes af de it-kriminelle - men ikke bliver det (eller i hvert fald i et meget begrænset omfang) uden for sikkerhedseksperternes test-labs.

"Vi fortsætter med at overvåge mange kanaler for tegn på udbredte eller målrettede angreb mod bruger-enheder," lyder det fra Google i Android-sikkerhedsrapporten.

Læs også:

Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis

Går Google over stregen med bundling af Android og egne apps?

Android-opdateringer leveres i sneglefart: Så langsomt går det med de nye versioner




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Daxiomatic ApS
Salg, udvikling, implementering og servicering af software til ERP

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital kundeservice: Kom godt i gang med chatbots

Der er store gevinster at hente med chatbots, som kan håndtere en stor del af kommunikationen med brugere - både de eksterne som kunder og de interne som medarbejdere.Og lige rundt om hjørnet venter næste generation, nemlig de stemme-baserede chatbots, som står på skuldrene af de stemmestyrede home-devices som Amazons Alexa og Google Home.

07. december 2021 | Læs mere


Can AI bring value to your business?

You will learn how AI has been successfully used to enhance an existing business where artificial intelligence is deployed to work complementary to natural intelligence in a complex data process. And you will be presented with a business case where AI provides the possibilities of creating a completely new business platform, that would not otherwise have been possible.

08. december 2021 | Læs mere


Sådan styrker du din forsyningskæde gennem digitalisering

I dette webinar bygger CGI's eksperter bro mellem de overordnede, strategiske aspekter af den digitale værdikæde og mere konkret de nye muligheder, Intelligent Order Management til Microsoft Dynamics 365 FO byder på.

09. december 2021 | Læs mere