SVT: Smarta telefoner lätta att hacka – Hur sårbart är Android?

Postat:
12:31 - 2010-10-25
Skribent:
| Eric N
Kommentarer:
49

Under gårdagen visade SVT Rapport ett reportage om säkerhetsbristerna bland smartphones och illustrerade med en mängd skräckingivande exempel vad som kan ske om en hackare tagit sig in i en telefon. Bland annat fick vi se Rapports utsände, Filip Struwe, föra ett iscensatt möte bakom lykta dörrar samtidigt som en hackad telefon fanns närvarande. Trots att telefonen inte givit några indikationer på att en ljudinspelning ägt rum kunde säkerhetsexperten man konsulterat, som i det här fallet intagit rollen av en hackare, spela upp en ljudinspelning av mötet. Säkerhetsexperten konstaterar att en telefon som blivit infekterad gör det möjligt för hackaren att komma åt praktiskt taget all data som finns lagrad på telefonen såväl som att avlyssna mikrofonen eller fånga video och stillbilder från telefonens kamera.

Hur det går till när en hackare tar sig in i telefonerna klargjordes inte, men det framgick att förfarandet är enkelt och att  i stort sett alla smartphones på marknaden är sårbara. Enligt reportaget räcker det med att surfa till en webbsida med telefonens webbläsare eller med att ansluta till en trådlös accesspunkt över WiFi för att riskera att bli infekterad/angripen. Risken finns också att en användare hämtar hem en applikation och installerar denna frivilligt som i sin tur innehåller skadlig kod.

Så tar hackaren över din telefon

1. Han gör en så kallad ”man in the middle attack” vid en hotspot där du kopplar upp dig via Wifi, och infekterar därefter din telefon med elak kod som öppnar upp en backdörr, och ger hackaren full kontroll över din telefon, så kallad ”root-access”.

2. Samma kan du drabbas av om du installerar en app med elak kod i.

3. Attacken kan också riktas mot just dig via SMS eller mejl med en länk som du luras att klicka på. Därefter flyttas du till en hemsida där telefonen infekteras. Mejlet kan skickas med en så kallad ”spoofad” mejladress – alltså från en avsändare som du känner igen.

4. Dessa attacker är möjliga att göra mot i princip samtliga smarta mobiler på marknaden – det krävs inte att telefonen är jailbreakad. (Telefon som låsts upp i syfte att installera oauktoriserade appar.)

–Från SVT.se ”Smarta telefoner lätta att hacka”

Reportaget i SVT Rapport gav naturligtvis upphov till huvudbry bland många smartphone-ägare och vi har tagit emot flertalet mail där man ställer sig frågande till säkerheten i Android och undrar om det exempelvis räcker med att besöka en webbsida för att bli infekterad av skadlig kod. För att reda ut det här så har vi konsulterat Mattias Björnheden som i dagsläget arbetar på Enea med bland annat Android-säkerhet och som har ett förflutet inom försvaret där han arbetat med krypterade system.

Mattias Björnheden

Berätta lite om dig själv och varför du intresserat dig för Android?
-Generellet är jag en väldigt teknikintresserad person som ägnar mycket av min tid att labba med mobil kommunikationsteknik av olika slag både på fritiden och jobbet. Jag jobbar med mobilplattformar inom Enea. Detta gäller såväl våra egna produkter med realtids-OS som används för modemkommunikation hos smartphones och även som grunden i vissa feature phone OS, men jag ägnar också väldigt mycket tid åt Android där jag var med och grundande vårt Android Competence Center i samband med att källkoden släpptes 2008.

-Jag är bland annat delaktig i projekt kring Android på plattformsnivå där vi undersöker saker som säkerhet, inkoppling av ny hårdvara och användning av Android utanför mobiltelefoniområdet. Jag är även inblandad i utbildningar och skriver en del på våra tekniska bloggar. Säkerhet är något jag varit intresserad av ända sedan jag höll på med krypterade system inom försvaret och det är något jag fortsatt jobba med även på mobilsidan.

Hur ser säkerheten ut i Android?
-Androids grundsäkerhet är byggd på två koncept. I grunden använder man sig av Linux/Unix fleranvändarmodell där man möjliggör för flera användare att använda samma dator utan att kunna komma åt varandras filer och program. Detta är en mycket beprövad och vältestad säkerhetsfunktionalitet och i Android har man anpassat den på så sätt att man istället för att skydda olika användare från varandra så låter man varje applikation köras som sin egen användare. När en applikation sedan vill komma åt någon skyddad tjänst gör systemet en kontroll att användar-id (d.v.s. applikationens id) verklighet har rätt att använda tjänsten, exempelvis läsa en kontakt. Detta innebär att varje applikation körs i en skyddad ”sandlåda” och en traditionell hackning där man lyckas exekvera sin egen kod i applikation kommer ändå inte att få fler rättigheter än applikationen som sådan.

-Det andra konceptet är att man ovanpå denna modell byggt ett system där en applikation per default inte har några rättigheter i systemet och den kan inte komma åt någon annan information än sin egen. För varje sak applikationen vill göra måste den begära rättigheter för detta av användaren, något som görs vid installationen genom att man klickar ok på de ”permissions” som applikationen begär. Detta lämnar ganska mycket upp till användaren och man litar på ”peer review” d.v.s. att ryktet ska sprida sig om applikationer som gör något illasinnad och dessa kan i så fall tas bort antingen av användaren eller av systemet i vissa fall.

I SVT:s reportage nämns säkerhetshål som innebär att det räcker med att vara ansluten till ett trådlöst nätverk eller att besöka en webbsida för att telefonen skall vara sårbar. Gäller detta också för Android; finns det några kända säkerhetshål i dagsläget som innebär samma typ av exponering?
-Den typen av attacker kräver att det finns säkerhetshål i någon av de interface som exponeras mot nätverket och internet. Vanligast är att det är brister i browsern eller i program som Adode Reader där man kan få programmet att exekvera skadlig kod och denna kan sedan användas för att ta över systemet. Här har Android en fördel genom sin sandlådemodell vilket gör att en attack mot browsern vanligtvis bara kan komma åt information som browsern har tillgänglig, exempelvis dina bokmärken och din historik, men inte saker som finns i andra delar av systemet så som kontakter eller SMS. Undantaget är om man lyckas nyttja browsern för att komma åt sårbarheter i operativsystemet och på så vis erhåller full access, s.k. root, men detta är allvarligare fel som är mer ovanliga.

-Jag känner i dagsläget inte till att denna typ av attack använts för att ta kontroll över någon telefon annat än i forskningssyfte och då under rätt speciella omständigheter. Det man bör vara medveten om med trådlösa nätverk i allmänhet är att de ger stora möjligheter att avlyssna kommunikation men det handlar mer om vad som skickas på nätet, det är svårare att den vägen installera spyware och liknande på telefonen.

Kan du beskriva ett worst case scenario? Med vilka medel kan skadlig kod ta sig in utifrån de säkerhetsbrister som idag är kända?
-Ett worst case scenario är om det dyker upp någon möjlighet att göra liknande saker som man kan göra med en ”one-click-root” applikation direkt från en websida och att någon lyckas skriva en tillräckligt avancerad attack för detta. Detta skulle innebära att någon lyckas få full kontroll över telefonen från kod som kör i browsern och använder denna kontroll för att ladda ner och installera ett illasinnat program. Denna typ av attack är svår att skydda sig mot annat än genom att man har en uppdaterad mjukvara där den här typen av hål täpps igen så snabbt de upptäcks. Här har mobiltillverkarna och operatörerna en del att jobba på när det gäller patchtider.

-I dagsläget är dock ett troligare worst case scenario att du lånar ut din telefon till någon i fem minuter som installerar någon mjukvara som sedan kan göra i princip vad som helst med din telefon. De som finns till Android idag syns i princip bara i applikationslistan och då under något oskyldigt namn som ex tip calculator.

Vad kan man som Android-användare bäst göra för att skydda sig mot illasinnade applikationer/skadlig kod?
-Man bör som med allt annat i världen tänka efter lite innan man handlar. De största riskerna med Android idag är inte så mycket skräddarsydda ”superattacker” via en falsk basstation utan snarare att man luras med i ett ”next->next->finish” beteende där man installerar något utan att tänka på vad det kan göra. Om en applikation begär att få läsa alla dina kontakter och koppla upp sig mot nätet fast den utger sig för att vara en kalkylator så är det läge att bli misstänksam, speciellt om den inte kommer från Android Market.

-Vidare bör man vara försiktig med att lämna ifrån sig telefonen till någon man inte litar på till hundra procent, det tar inte lång tid att installera ett spionprogram och när det väl är på plats är det svårt att upptäcka. Vill man vara extra säker mot det sistnämnda så finns det idag säkerhetsprogram som håller utkik efter kända spionprogram och även ger andra möjligheter som att radera all data ifall man tappar bort sin telefon.

Tack för att du hade möjlighet att svara på våra frågor. Finns det något som du vill hälsa till Swedroids läsare?
-Är man generellt försiktig så är säkerheten i din Androidtelefon relativt god. Efter två år finns det bara ett par obskyra exempel på skadliga applikationer för Android och ingen av dessa har haft något stort genomslag. Men man bör vara försiktig och hålla koll på händelseutvecklingen. Efter hand som det finns fler som använder smartphones kommer också intresset för att attackera dem att öka.

-För de som är intresserade av Android så har vi en teknisk androidblogg här med bland annat slides från min säkerhetspresentation på Android Only: www.Androidenea.com. Mer info om vad vi jobbar med inom Android finns på www.enea.com/android

Om ni har några frågor kring säkerheten i Android så är ni välkomna att ställa dem i kommentarsfältet nedan. Mattias kommer i mån av tid att försöka att svara på era frågor.