Dålig säkerhet i Android..

Lyssna på avsnitt #521 som jag länkade till. Länken går till just den del i avsnittet som handlar om Stagefright. Det är inte så enkelt att se sådana fel. Men jag är helt med på vad du säger. Det ska inte finnas säkerhetshål. Tyvärr är de lätta att göra.

De stora delarna gör det, dock inte hela. Just Stagefright är skrivet i C++. Java har sina fördelar och C har sina. En fördel med C är att det går väldigt snabbt att köra program skrivna i det och att man kan åstadkomma i stort sett vad som helst med det eftersom det är så systemnära. En nackdel är dock att allt ansvar hamnar på den som skriver koden vilket gör att buggar lätt smyger in i koden.

Android i sig har ett säkerhetstänk. En av dessa lösningar är att alla appar körs i sandboxes, vilket gör att appar inte kan läsa varandras data hur som helst. Google jobbar väldigt mycket med att höja säkerheten på internet och då vore det väl konstigt om de inte gjorde det i sitt eget OS också? Medan jag anser att Google är ganska duktiga på att fixa problem så är många tillverkare sämre. Så det är inte Android jag tycker måste bli bättre, utan tillverkarna. Men jag kan hålla med om att det tog lång tid innan de bestämde sig för att släppa småfixar med jämna mellanrum.

 

Ska försöka få fram vad jag egentligen är ute efter.
Något som idag är "omöjligt" med Android. Och med Android menar jag inte Google's Android, utan alla "smaker" där under, från var och en av olika tillverkare av mobiler, plattor, och andra enheter.
Google är relativt snabba på att ta fram uppdateringar, men de kommer inte fram till alla Android-enheter, utan till Nexus och rootade enheter som kör en "vanilla" rom. För alla andra "smaker" från tex. HTC, LG, Samsung, Sony etc så tar det ganska tvärnit. Här har tillverkarna så många olika enheter med olika versioner/anpassningar av Android så det är betydligt kostsamt för dem att få in Google's uppdatering i deras versioner/anpassningar. Så om nu mobil/enhetstillverkarna ska släppa dessa uppdateringar så kommer det enbart att komma till vissa utvalda enheter, och under en så kort tid av enheters "livstid".
Men när väl uppdateringarna är framtagna, godkända av tillverkare och Google, så ska de även bli godkända av diverse mobiloperatörer, samt så när det gäller Android-mobiler så är mobiloperatörerna de sistnämnda som bestämmer, och släpper på uppdateringen. Det är kostsamt för mobiloperatörerna att göra denna tillgänglig.
Jo, även om Android-användarna använder WiFi för att ta ner uppdateringen, så är det mobiloperatörerna som ligger bakom det. Vilket är Androids andra akilleshäl (den förstnämnda akilleshälen är som sagt alla olika versioner/anpassningar).

Så med de orden sagt, så är det själva "uppdateringsfasen" jag är starkt kritisk mot. Den fungerar inte idag, och jag förstår inte hur de stora tillverkarna ska lyckas med att släppa uppdateringar månadsvis. Men lyckas de, och satsar på att ta fram uppdateringar till alla enheter under dess livstid, ja då jäklar så blir jag glatt överraskad.

Jag gillar Android, jag är inte emot Android. Har aldrig ägt en iOS-enhet och är inte sugen på det heller. Jag klev in i Android-världen från Symbian 2010 i och med HTC Desire HD, och är riktig fastbiten.

 

HTC släppte visst på en uppdatering åt frugans mobil (One M8) igår.. Så HTC jobbar på lite i alla fall...
Men häromdagen så damp ytterligare en sårbarhet ner, för alla android-versioner.

Vore kul att få mer information, om hur de (Google, eller egentligen de övriga tillverkare) har tänkt sig hur de ska lösa det här med månadsvis uppdateringar (vilka modeller, etc).

Någon som sett om tex Samsung, HTC, LG, Sony har gått ut med lite mer detaljerad information?

 

mbs, Du refererar till den nya sårbarheten THN ovan. Jag skummade igenom en beskrivning av den för att fatta vad som krävs för att vara sårbar men hade svårt att hitta det. Fattade det att man måste installera en "smittad" app för att vara sårbar. Vet du mer om detta?

 

"Android system to be configured so that it is essentially wide open"

Men det finns undantag. När vi talar om vanliga Linux OS till datorer som Ubuntu Linux. Är de redan utmärkt konfigurerade från början. Ingen anledning till ytterligare åtgärder för en standardanvändare.

Men så kommer vi till ämnet "phones and tablets". Några tillverkare väljer ett "shipping condition" som är mindre bra. Linux eller Android har alla förutsättningar som krävs för en säker miljö eller att "harden the system", ( "when you harden the system, you are working with it rather than against it" ) för användaren.

Men ändå väljer några tillverkare att leverera en mindre säker Androidprodukt, ( "shipping condition" ) till kunderna. Det är naturligtvis kunderna lyckligt omedvetna om. Kunden köper en säker smarttelefon med Android. Men Android systemet är många fall i dåligt, ( "shipping condition" ) konfigurerat och vidöppet.

"As the shipping condition of many phones and tablets shows, it is all too easy for a Linux or Android system to be configured so that it is essentially wide open. Instead, what it means is that Linux has been easier to secure than Windows because, when you harden the system, you are working with it rather than against it, and with core parts of the system rather than add-ons"

Det är fult möjligt idag att hitta en balans mellan säkerhet och användarvänlighet. Men för att skapa den här balansen mellan säkerhet och användarvänlighet krävs en mindre ansträngning från tillverkaren eller leverantören när de utför fabrikskonfigureringen av smarttelefonen eller sin produkt.

"It is perfectly possible to find a balance between security and convenience — but pinpointing the balance is more effort than most of us are used to making".

Att begära att kunden själv har den här kunskapen eller säkerhetsmedvetenheten är inte ett rimligt antagande. De allra flesta användarna eller kunderna är inte vana vid att själva behöva utföra nödvändiga åtgärder för att hitta den rätta balansen mellan säkerhet och användarvänlighet.

Länk till ämnet: http://www.ocsmag.com/2015/08/26/the-basic-principles-of-security-and-why-they-matter

 

Att det upptäcks nya säkerhetsluckor är som sagt inte ovanligt i något system. Flash är ett bra exempel där nya säkerhetsbrister upptäcks med jämna mellanrum. LastPass, en password manager, hade nyligen ett intrång och LastPass är ett företag som jobbar med datasäkerhet. Båda dessa är closed source. Med andra ord kommer luckor att upptäckas även framöver i alla olika typer av system, öppna såväl som stängda. Jag tycker att säkerheten i Android är bra och ständigt förbättras.

Microsoft klarar ju av att uppdatera Windows trots flera tillverkare och således borde även Google kunna göra det. Det skulle antagligen kräva att tillverkarna modiferade sina varianter av Android på andra sätt. Dock är Android open source och tanken med det är att man ska kunna modifera det lite som man vill. Om Google skulle styra upp det för mycket skulle det inte vara lika öppet längre så i slutändan tror jag det är tillverkarna som måste bestämma vilka enheter som ska få uppdateringar.

Det du skriver om operatörer har jag dålig koll på. Är det inte i USA det är operatörerna som bestämmer om uppdateringarna?

 

Bara för att informera så har nya problem med Stagefright upptäckts:

 

87% av alla Androidmobiler är osäkra, http://androidvulnerabilities.org

Förresten, nån som har fått uppdateringar varje månad, från Samsung, LG, HTC eller Sony, från juli/augusti?

 

Min Nexus 4 uppdateras ju till och från säkerhetsmässigt, räknar med att Lollipop ett tag till kommer att få uppdateringar (om än inte lika snabbt som om man kör AOSP custom roms), men eftersom den konstigt nog (säger jag som inte är förvånad) inte fick Marshmallow från Google så undrar man ju över Googles syn på säkerhet och support. Först var det 2 år sedan produktens försäljningsstart, nu tror jag det är 3, men det borde rimligen vara typ minst 3 år efter sista tillverkningsdag. Google har ju inte heller en myriad modeller att hålla ordning på så några bra ursäkter har de inte. Apple har ju varit mycket bättre på att uppdatera sina telefoner, vilket är bra med tanke på hur dåligt de uppdaterar och supportar OSX.

Värre med Samsung etc. Vår Galaxy S4 mini, köpt i år, kommer ju aldrig att få mer än 4.4.2 vad det verkar. Även om man kan tänka sig uppdateringar, kanske via knox, så känns det inte som att Samsung direkt har intresse av att supporta annat än de 2 senaste flaggskeppen i galaxy- eller note-serien. Och majoriteten Androidmobiler är ju inte heller flaggskeppsmodeller.
Nu kan man ju tycka att vi får skylla oss själva som köpte en S4 mini, det är ju en "gammal" modell, men likväl säljs det nya sådana fortfarande i år. (övriga minimobiler var antingen för dyra eller för dåliga, eller för obefintliga).

Jag tycker nog att det är dags att supporten börjar återspegla sig starkare i recensioner. Nu är Android inte nytt längre. Nu vet vi hur tillverkare supportar sina produkter. Bort med alla toppbetyg för alla modeller som inte garanteras uppdateringar fort under flera år, och låt tidigare beteende väga in. Med allt fler bank- och betalningstjänster i mobilen kan det bli problem utan OS som är uppdaterade. Bank-ID tillåter inte installation på osupportade operativsystem på datorn, när gäller samma sak på mobilerna? Android Pay kräver väl i dagsläget Android 5 (?), och kraven kommer inte att minska framöver. Samsung Pay kräver väl en uppdaterad flaggskeppsmobil. Kan iofs tänka mig att i framtiden när allt fler telefoner är tillräckligt bra (dvs, Svensson tycker att en telefon för 1500 är lika bra som en för 6000) så kommer säkerhetsupdateringar att bli en konkurrensfördel främst på dyrare telefoner = de som är intresserade av säkerhet och inte bara en fin skärm måste välja dyrare telefonmodeller.

 

Bli förvånad att iOS har sämsta säkerhet när det gäller mobila OS, iallafall enligt denna sida:
iOS Vulnerabilities (699)
http://www.cvedetails.com/product/15556/Apple-Iphone-Os.html?vendor_id=49

Android Vulnerabilities (138)
https://www.cvedetails.com/product/19997/Google-Android.html?vendor_id=1224

Windows Phone kunde jag inte hitta för senaste åren resultat.

Android är byggd på Linux, hur säkert Linux är behövs väl inte sägas och Open Source tycker jag är mera säkrare än låsta OS. Säkerhets hål upptäcks snabbt och täpps till också snabbt.
Medan låsta OS, så vet man inte om det läcker som ett såll och man kan bli attackerad utan att veta om det.

Om nu OEMs vill släppa uppdate snabbt för åtgärda det. Men problemet är det finns alldeles för många modeller och med olika firmware för diverse land. Att släppa uppdatering för täppa till säkerhets hål för alla och viss land kostar företaget pengar. Tror inte många företag är villig att bekosta det.

Fast till sist är det upp till användaren, kvittar hur säkert ett OS är och användaren kan bli drabbad av attack om man inte är försiktig.
Aja baja för porrsurfande!

 

Fanboy inlägg?

Edit: De där siffrorna, är det totalt opatchade säkerhetshål, eller patchade?
/ Slut edit.

Android, finns i flera smaker, det som listas där är "vanilla" Android (eller?). Lägg sedan på alla olika "smaker", så stiger siffran.
Ja, Apple har varit otroligt dålig på patchning. Men med hjälp av bland annat MS så kommer de i kapp. Och de tar hand om sina äldre enheter.
Linux är inte så säkert som du verkar tro. Gissar på att du inte har studerat koden, utan att du mer förlitar dig på att andra gör det. Kommer rapporter varje vecka om allvarliga säkerhetshål i Linux också.

Jag vill inte kasta sten på en det ena, än det andra. Jag gillar Android. Men säkerheten måste tas på allvar, och då kan inte android vara så spretigt som idag.

Och man behöver ju inte porrsurfa, utan det räcker med att besöka tex aftonbladet, expressen eller dyligt för att vara rökt.

 

Då kunde jag lika gärna säga att iOS är värst utav alla och behöver inte länka till sida som visar upp all fakta om vilka säkerhets hål som finns på Android/iOS.

 

Ja, fast det är egentligen skit samma. Det är är ju problemet med Android jag försöker belysa. Inte vilket OS som är bäst. För som jag tidigare nämnt, jag kör ju helst Android, är inbiten, men det måste ju vara säkert också. Och det är hur man arbetar med att fixa alla hål som upptäckts. Det går ju inte idag hos Android's alla smaker.

 

Jag hoppar in i tråden lite.

Naturligtvis är det så att i en idealvärld borde alla enheter med Android få uppdateringar i 2-3 år men det finns ett antal hinder på vägen och dessa är inte endast "Android är öppet" (tillverkare behöver inte modifiera bara för att de kan....) utan snarare sättet mobilmarknaden fungerar.

Anledningen till att t.ex Windows kan uppdateras utan problem beror på att datorerna är tämligen hårdvarustandardiserade och att det erbjuds drivrutiner för tredjepartsprodukter. När det gäller mobiler är standardiseringen ett problem eftersom det inte finns någon referensplattform eller distribution av drivrutiner på det sätt som finns för datorer.

En annan detalj är att uppdatering av mobilen (som det fungerar idag) innebär kostnader för tillverkaren som de inte får in (uppdateringarna är ju kostnadsfria) och som snabbt ökar ju fler modeller som finns i sortimentet. Lägger man sedan till versioner - exempelvis Samsungstilen där flera operatörer har sin egna variant av enheten - blir det ännu kostsammare.

För att det skall bli realistiskt att förvänta sig genomgående uppdateringar av Androidenheter måste ett stort antal förändringar till och då är det inte "smaker" (forkar) som är det stora problemet. Snarare krävs det:

1. Referenshårdvara baserad på Googles rekommendationer.

Google specificerar referenshårdvaror för Androidenheter (budget, mid, highend) - enheter som uppfyller kraven blir då 100% kompatibla med "Google Android" (vanilla) och kan då uppdateras direkt därifrån. D.v.s en uppdatering för en Nexus fungerar även på en referensenhet (man skulle kunna kalla dessa enheter Nexus Certified).

2. "Build your Android".

Enheter som inte är exakt som referenshårdvaran utan innehåller avvikande lösningar kan uppdateras genom att para vanilla Android med specifika drivrutinspaket. Med särskilda verktyg kan dessa drivrutiner läggas till Googles vanilla vilket förenklar testandet eftersom det i praktiken handlar om att paketera ett färdigt system med en uppsättningar drivare för hårdvaran.

3. Modifieringar av Android flyttas upp på "appnivån".

För tillverkare som vill ha ett eget utseende etc sker ändringen att detta får ske på app- och drivrutinsnivå. D.v.s inga djupgående modifieringar av själva Android i sig utan snarare att t.ex kameran får en annan drivrutin och gränsnitt (app) vilket kan hanteras som punkt 2 (paketera vanilla med andra drivrutiner) och en app (som kan skötas via Google Play och/eller installeras under första uppstart av enheten).

Modifiering av Android sker sedan på ett sätt som gör att själva systemet inte ändras - allting sker via appar och drivrutiner. Man kan i samband med detta tänka sig en officiell version av Xposed Framework (kan kallas Android Extensions) som gör att olika tillägg kan göras utan att själva systemet i sig ändras - tilläggen måste naturligtvis uppfylla kompatibilitetskrav. Apple hade exakt den lösningen i gamla klassiska Mac OS så det går att erbjuda omfattande modifieringar av systemet den vägen utan att grunderna påverkas (det värsta som kan hända är att ett tillägg är inkompatibelt och då plockar man bort det).

4. Operatörsbranding och inblandning upphör.

Operatörerna är ett allvarligt problem här eftersom de har en tendens att kräva specialversioner och samtidigt bloatar systemet. Resultatet blir att en uppdatering behöver passera en extra instans som inte bör finnas.

Idealet är att Androidenheter alltid säljs olåsta och via oberoende återförsäljare (om operatörerna säljer enheterna är all form av branding och inblandning i mjukvaran etc uteslutet).

Sedan får jag även påpeka att det finns köpare som vill ha det omöjliga: Snabba uppdateringar OCH kraftigt modifierade system (dessa brukar gärna klanka på vanilla Android och kalla det tråkigt etc - omfattande modifieringar såsom Sense eller TW brukar då förespråkas).

Lösningen ligger i hög grad i att låta Google uppdatera systemet och sedan ändra tillverkarnas roll till att främst handla om drivrutiner och tillägg (Android Extensions) samt appar vilket är betydligt enklare att hantera (omfattande certifieringar och tester behövs inte på samma vis som för en forkad version av Android).

Det kan även vara en god idé att främja tredjepartsutvecklare genom att exempelvis samarbeta med XDA och även göra det enklare att flasha om enheter med tredjeparts-ROMar.

 

om man skulle fråga en duktig "hacker" vilken mobiltelefon tror ni han hade sagt: "den" är den säkraste på marknaden !

 

http://goo.gl/a6zufP

Det är inte samma sak.

Men en "kul" grej. Samsung har faktiskt fått ut en uppdatering denna månad fär Galaxy S6, och de fick ut en i förra månaden. Så kanske de håller det där med att släppa uppdateringar varje månad (nån månad till i alla fall, för S6'an)

 

okey, så om en uppdatering sker varje månad av androidsystemet, skulle det då innebära att "hackarna" är tvungna att hela tiden uppdatera sig (hacka på nytt).. ? hur lång tid behöver dom för att hacka en ny uppdatering ?

 

Jag har inte skrivit om att hacka. Säkerhetsuppdateringar är till för att rätta hål, och ja visst en "hackare" kan använda dessa för att ta sig in.

Det finns som sagt inget som är 100% säkert... men det här handlar inte om det.

 

Om den sårbarheten de vill utnyttja har täppts till så krävs det att de hittar en ny sårbarhet. det finns inga tidsramar detta. Säker programmering är dock inte särskillt lätt, utan det finns alltid nya sårbarheter som väntar på att upptäckas i alla system.

I det här avseendet kan Open Source vara både en välsignelse och ett gissel. Det är lättare att hitta sårbarheter om man har möjlighet att granska källkoden, både för goda och onda krafter. Detta är anledningen till att det alltid kommer skrivas mer om säkerhetsbrister i Android än i iOS, inte att iOS skulle vara säkrare och förhoppningsvis leder detta till att säkerhetshål täpps till snabbare. Både Google och Apple är oerhört säkerhetsmedvetna, mycket mer än vad vi ger dem credit för.

 

okey.. när jag skaffade skydd för min dator i hemmet, ingick 3 licenser.. jag valde att installera en licens i telefonen.. verkar inte vara jättesäkert ändå.. killen jag pratade med på supporten menade på att säkerhetsmässigt är skyddet för mobilerna där pc:n var för 20år sedan.. låter inget vidare !