Topnyhed:Kæmpe fyringsrunde i Region Hovedstadens it-organisation

Artikel top billede

Alle advarede om kritiske Stagefright-sårbarheder i Android: Her afsløres antallet af reelle ofre

De kritiske Stagefright-sårbarheder i Android fyldte meget i sikkerhedsdebatten i 2015. Nu afsløres det højst overraskende antal af reelle ofre.

Der er ikke noget nyt i, at der opdages og advares om sårbarheder i Android-platformen. Sidste år skilte især én type sårbarhed sig dog ud.

Adskillige sikkerhedsfirmaer og -eksperter advarede om kritiske huller i multimedie-motoren Stagefright i Android, der blandt andet kunne udnyttes via MMS'er.

Faktisk var opmærksomheden om Stagefright så massiv, og advarslerne så alvorlige, at en række Android-producenter valgte at ændre sikkerhedspraksis.

Det betyder, at de nu i langt højere grad end tidligere udsender sikkerhedsopdateringer til brugerne helt automatisk.

Læs også: Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis

Men mens Stagefright altså fyldte ganske meget i Android-sikkerhedsdebatten i 2015, så er der faktisk ikke registreret nogen konkrete, succesfulde angreb mod Android-brugere med udgangspunkt i Stagefright.

Som i nogen angreb overhovedet.

Det fremgår af Googles netop offentliggjorte årsrapport om sikkerheden på Android (PDF).

"Der blev identificeret adskillige nye 'remote code execution'-sårbarheder i 2015, de mest prominente var Stagefright-sårbarheder," oplyser selskabet.

Google skriver i rapporten, at man i 2015 fra sikkerhedsfirmaet Zimperium modtog konkrete, produkt-specifikke demonstrationer af, hvordan Stagefright kunne udnyttes af it-kriminelle.

"Siden da har vi set en række succesfulde 'exploit proof-of-concepts' demonstreret af sikkerhedsforskere, inklusiv Googles eget Project Zero. Vi har også modtaget adskillige rapporter om, at exploits til Stagefright er inkluderet i exploit toolkits."

"Mens dette bliver skrevet, har vi ikke observeret eller er blevet opmærksom på nogen succesfulde forsøg på at udnytte Stagefright-sårbarheder på reelle bruger-enheder," lyder den noget overraskende status fra Googles side.

Langt fra test-labs til virkeligheden

En melding som denne kan naturligvis bunde i, at Google ganske enkelt ikke har kendskab til konkrete, succesfulde angreb med udgangspunkt i Stagefright.  

Med de mange hundrede millioner Android-enheder, der er i brug rundt omkring i verden, forekommer det dog noget usandsynligt, at ikke ét eneste angreb skulle være blevet spottet af Googles folk.

Derfor tyder noget på, at denne nye type sårbarheder i Android måske nok teoretisk kan udnyttes af de it-kriminelle - men ikke bliver det (eller i hvert fald i et meget begrænset omfang) uden for sikkerhedseksperternes test-labs.

"Vi fortsætter med at overvåge mange kanaler for tegn på udbredte eller målrettede angreb mod bruger-enheder," lyder det fra Google i Android-sikkerhedsrapporten.

Læs også:

Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon

Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis

Går Google over stregen med bundling af Android og egne apps?

Android-opdateringer leveres i sneglefart: Så langsomt går det med de nye versioner




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Enterprise Architecture Day 2023: Strategi styring og sikkerhed

Mange it-afdelinger har de seneste år har oprustet på it-arkitektursiden. Både gennem individuelle ansættelser og med oprettelse af egentlige arkitektafdelinger. Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu?

28. marts 2023 | Læs mere


Nye muligheder - ny værdi. Få mere ud af Microsoft Dynamics 365 CE - med særligt fokus på kunstig intelligens (AI)

Kunstig intelligens, stemmegenkendelse, Open AIs meget omtalte ChatGPT, integrationer til Outlook, Teams og meget mere. Microsoft Dynamics 365-platformen byder på masser af muligheder for at øge produktiviteten, forbedre kundeservicen, få bedre indsigt i forretningen og i det hele taget rykke fra konkurrenterne.

29. marts 2023 | Læs mere


Enterprise Architecture Day 2023: Strategi styring og sikkerhed

Mange it-afdelinger har de seneste år har oprustet på it-arkitektursiden. Både gennem individuelle ansættelser og med oprettelse af egentlige arkitektafdelinger. Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu?

30. marts 2023 | Læs mere