Säkerhetshål i Android funnet – Android 1.x till 2.2 drabbat

Postat:
13:11 - 2010-11-12
Skribent:
mortalis
Kommentarer:

Google har släppt en uppdatering för samtliga Android-versioner som täpper till ett nyligen upptäckt säkerhetshål. Problemet är att det kan ta lång tid innan merparten av alla Android-enheter erhåller uppdateringen då det är telefontillverkarna som svarar för underhållet av sina respektive telefoner och inte Google – undantaget Nexus One.

Jon Oberheide som arbetar för Scio Security har uppmärksammat säkerhetshålet genom att skapa ett program som utger sig för att vara extrabanor till den populära speltiteln Angry Birds. När användare laddar ner programmet och godkänner rättigheterna som programmet ber om installeras ytterligare tre program i bakgrunden, utan användarens vetskap. Dessa program kan i sin tur innehålla skadlig kod som ex. spionerar på användaren eller rentav förstör data. Syftet med programmet var att synliggöra hur enkelt det är för elakartade program att smyga in denna väg och de tre program som installerades i bakgrunden var helt ofarliga.

För att undvika att drabbas av den här typen av skadliga program så rekommenderas det att man endast installerar program av kända programutvecklare, granskar applikationens omdömen och observerar vilka rättigheter programmet efterfrågar.

Genom Cnet och IDG.se och artikeln är författad av Mortalis



  • Toha

    Ooops….

  • master_of_rock

    Då är alla tillverkare mer eller mindre tvungna att släppa en uppdatering. Och då kan det snabba på 2,3 uppdateringen kanske om de ändå skall hålla på. (HTC Desire här)

  • Anonym

    Redan sett en app som gjorde precis såhär.. installerade ytterligare ett program som jag inte hade godkänt

  • Perry

    @anonym – hur såg du den icke godkända appen? den lär väl inte dykt upp i app-listan i telefonen?

  • Ult

    Alla telefoner behöver inte ha nån uppdatering för detta.
    Den uppdateringen kan göra på market

  • master_of_rock

    Jag undrar samma sak som Perry. Då kan man kolla alla appar varje gång man installerar något nytt.

  • Toha

    .

  • Pingback: Tweets that mention Säkerhetshål i Android funnet – Android 1.x till 2.2 drabbat | Swedroid -- Topsy.com

  • Daniel

    Eniro gjorde väl något liknande med sin första app de släppte? Eller var det bara två olika ikoner som gick till två olika delar av sama program?

    Hursomhelst så tror jag många tillverkare har tagit sig vatten över huvudet med sina egna gränssnitt. Tanken på att de måste patcha säkerhetshål har nog aldrig slagit dem. Det blir intressant att se hur detta utvecklas i framtiden, det känns som den enda möjliga lösningen är att tillverkarnas gränssnitt måste nå en helt ny abstraktionsnivå som gör att de bara ligger som ett skal ovanpå Android där man kan uppdatera Android utan att påverka skalet.

  • Daniel

    @Ult
    Hur menar du? Har du någon länk med mer information?

  • Anonym

    Absolut, att tillverkarna måste skicka ut patcharna själva håller bara inte – det måste ske direkt från google.

  • Lars

    Jag ser inte problemet. Är det slarviga användare, som inte kollar vilka rättigheter ett program kräver innan dem installerar, som är säkerhetshålet?
    :)

  • Vejto

    @Lars
    Nope vad jag förstått det som så kan appen installera andra appar med andra rättigheter. Och man märker ingenting…

  • Ult
  • vanti

    Vilken rättighet är det som det godkända programmet behöver för att kunna installera fler program?

  • Lars

    @Vejto
    Men om ett program har rättigheter att installera andra program.
    Borde man inte märka det i rättigheterna?

  • Anonym

    Jag har Angry Birds, och det spelet kom med en uppdatering tidigare i veckan vilket gav fler banor. Borde man vara orolig?

  • darkly

    Jaha men ska man avinstallera Angry Birds då elr vad. Jag gjorde uppdateringen i förrgår. Står i telefonen att den har rätt till Fullständig Internetåtkomst och att hindra telefonen från att gå i viloläge.

  • Mattias B

    Håller på och försöker rota fram mer fakta om den här attacken. Av döma av nyheterna så här långt krävs det att man installerar och godkänner en app som begär ett antal rättigheter. Sedan kan den appen installera fler program utan att användaren behöver ge sig godkännande. Den intressanta frågan är:
    Får de nya applikationerna några andra rättigheter än den först installerade applikationen?
    Om så inte är fallet kunde man lika gärna låtit den första applikationen man fick användaren att installera utföra något illasinnat istället för att installera ytterligare applikationer. Att det går att installera applikationer utan användarens godkännande är oavsett inte avsett och förmodligen en anledning till att Google skickar ut en patch. Sårbarheter kommer att hittas då och då och det är därför det är viktigt att uppdateringscykler för säkerhetsuppdatering i framtiden blir betydligt snabbare än vad de är idag.

  • Johan

    @ darkly
    Det här har ingenting med Angry Birds eller uppdateringen till det att göra. Så är det Angry Birds från Rovio Mobile du installerat behöver du inte oroa dig.

  • Christofer

    @ Daniel
    Håller precis med. Google måste kunna släppa updates features och fixar själva, utan att SonyEricsson, HTC mfl sitter där och blockar hela framtiden för Android.
    Känns som Google inte klara föra dialogen med HTC, eller så har dom blivit lurade. Jag vill ju inte att tex DELL bestämmer om jag ska får senaste Service Packet till Windows.

  • Johan

    @ Christofer
    Det är så det är med Android. Vill man ha uppdateringar, säkerhetsfixar och annat direkt så är det Nexus One, iphone och troligtvis Windows Phone 7 mobiler som gäller.

  • Mattias B

    @ darkly
    Man behöver inte avinstallera Angry Birds. Den här applikationen spreds som ett falskt add-on pack till Angry Birds men den har inget med själva Angry Birds att göra. Det olyckliga är att det kom ut ett äkta add-on pack ungefär samtidigt vilket kan ha gjort att den här appen fick lite större spridning än annars. Det verkar inte som appen kör något elakt utan den är mest ett illustrativt exempel och Google har dessutom använt sin ”kill-switch” vilket innebär att den automatiskt detekteras och avinstalleras om den finns på din telefon.
    Har man Angry birds och fick med riktiga banor med sin uppdatering behöver man alltså inte vara orolig. Om man däremot installerade ett add-on pack som inte gav några banor kan det vara värt att ta en extra koll om man har några falska appar och i så fall avinstallera dem.

  • TrueDesire

    @ Mattias B
    då jag hade gamla versionen av angry birds installerat, gick in på market under hämtningar och tryckte på uppdatera borde jag tämligen vara säker?

    hur många banor/världar finns det numera i senaste uppdateringen?

  • Mattias B

    @ TrueDesire
    Om du bara uppdaterat den befintliga applikationen är du säker. Hur många banor det ska finnas i Angry Birds har jag tyvärr inte koll då jag mest ägnar dagarna åt att rota i Androidplattformen. (men några banor har jag tagit mig igenom hittills iaf).

  • Anonym

    @ Perry Just den syntes i applistan. Dessvärre kommer jag inte ihåg vilken app det var. Kan jag kolla på något sätt vilka appar jag haft?

  • Anonym

    Känns som att Google borde kunna kontrollera de appar som finns på market och den vägen stoppa dessa, dvs det ”borde inte” behövas en patch för själva OS:t. Men vad vet jag, Google kanske inte har ett tillräckligt bra analysverktyg för detta.

  • soyd

    Det skulle lösa mycket om man kunde neka samt ge program rättigheter i installern.
    Det är lite mycket skit program som ska ha access till call records etc. Whats up with that shit?

    Det sämsta med Android är ju detta tycker jag. Då är det ändå typ ”opensource” men ändå ska jag tvingas ge program efter program rättigheter till saker de inte ska ha eller bör ha för att fungera.

    90% av alla program är spyware. HELT SJUKT!

  • Mikael

    Förstår inte riktigt vad du menar, om det finns ett öppet hål så finns risken att det kommer mängder med appar som utnyttjar detta hål för att komma in hos användarna, vilket betyder att Google bara kommer stänga av program efter program tills det kommer tillräckligt många program att de inte hinner med.
    Det är som att ha hål i väggen in till Elgiganten va, du kan ha en väktare som står och tar fast tjuv efter tjuv men när ryktet sprider sig och det kommer tiotusen tjuvar på en gång, då hinner inte väktaren ta alla. Bättre att ta dit en murare och täppa till hålet, tycker ju ja då..

  • Anonym

    @ Mattias B Okej, så jag som inte är helt haj på detta: Om jag inte själv sökte upp ett tillägg till Angry bird, utan fick en uppdatering i Rovios äkta spel, så borde det vara lugnt?

  • Ergoforcen

    Gäller detta sidan på Swedroid som gjorde reklam och tillhandahöll länkar till extrabanor på Angry Birds ??

    Ett program jag ej instalerade är tom cat eller vad det heter ,de krävde att få instalera och avinstalera vilka program det ville på mitt sd kort samt fullständig tillgång till alla telefonens (inc internet,telfonbok) funktioner .Det värsta jag någonsin sett .Ändå på toppen av antal nedladdningar

  • Johan
  • Mattias B

    Anonym :@ Mattias B Okej, så jag som inte är helt haj på detta: Om jag inte själv sökte upp ett tillägg till Angry bird, utan fick en uppdatering i Rovios äkta spel, så borde det vara lugnt? Rapportera inlägg

    Så länge du laddade ner en uppdatering av Rovios äkta spel kan du vara helt lugn. Detta gäller generellt för Androidapplikationer att de bara kan uppdateras av en ny applikation som är signerad med samma privata nyckel (en sorts digital namnteckning kan man säga) som originalappen. Detta ska i princip göra det omöjligt att distribuera en uppdatering för någon annans applikation.

    I det här fallet kan även påpekas att detta inte är något farligt virus utan en konceptapplikation framtagen av en säkerhetsforskare. Den verkar inte göra något illasinnat utan kan mer ses som en påminnelse på att man ska vara försiktig med vad man installerar.

  • Tommy

    Man ska nämna att det ändå kommer upp notifikationer om att dessa program installeras. De aktuella programmen gör ingen skada, utan är som sagt var bara en demonstration.

  • Martin

    Daniel :Eniro gjorde väl något liknande med sin första app de släppte? Eller var det bara två olika ikoner som gick till två olika delar av sama program?

    Det var bara två olika ikoner som gick till två olika delar av samma program. Något förvirrande, eftersom ingen av ikonerna hette samma sak som själva appen.

  • Pingback: More Android exploits | Kodden's Corner

  • Mikael

    Tommy :Man ska nämna att det ändå kommer upp notifikationer om att dessa program installeras. De aktuella programmen gör ingen skada, utan är som sagt var bara en demonstration. Rapportera inlägg

    Yep just dessa gör ingen skada…men de kan finnas fler som gör de

  • Anonym

    Anonym :Jag har Angry Birds, och det spelet kom med en uppdatering tidigare i veckan vilket gav fler banor. Borde man vara orolig? Rapportera inlägg

    Nej, hålet har egentligen inget med angry birds banor att göra. Bara du är säker på att det är en känd utgivare, rovio i det här fallet.

    Hade gärna sett att hela android delas upp i (minst) 2 delar, en GUI-del och en back-end-del på ett bra sätt. På så sätt hade man kanske kunna möjliggöra systemupdates direkt från google medan respektive tillverkare kan uppdatera GUI’t.

    Är dock inte speciellt insatt i varken java eller android-programmering.

  • @Pierre

    Som vanligt en jäkla massa kommentarer utan att någon tillför något. Härligt!

  • Quasse

    @Pierre :Som vanligt en jäkla massa kommentarer utan att någon tillför något. Härligt!
    Rapportera inlägg

    Dito :)

  • Shero

    Alltså. Två forskare gjorde en app som installerade ett annat app bara för att visa att man kan installera program utan att telefonen räknar upp vad den andra appen har för rättigheter. Man tog angry birds ikonen bara som ett ex. detta är inget som finns ”ute i det vilda” om det inte kommit något nu då. Detta kom ut igår så google var rätt snabbt ute med en uppdatering.

  • blunden

    Daniel :Eniro gjorde väl något liknande med sin första app de släppte? Eller var det bara två olika ikoner som gick till två olika delar av sama program?

    Man kan definiera vilka ikoner som ska skapas för en app i AndroidManifest.xml. Det är exempelvis så Maps fungerar när den skapar ikoner till Places, Navigation etc.

  • Christian

    ”att man endast installerar program av kända programutvecklare,” Jaha. Vilka är de då? Jag känner till Rovio och litar på dem eftersom de också publicerar i Appstore. Eniro bör man väl kunna lita på. Sveriges Radio vet jag att man kan lita på. Men annars? Market har ju inte direkt byggt sin struktur på ett sådant sätt att det går att bedöma sånt.

  • Anonym

    @ Lars
    Säkerhetshålet är så att det kringgår att man ser vad som kommer att visas bland rättigheterna.

  • Anonym

    Christian. Man kan googla företagsnamn och kolla omdömen osv, tyvärr så de e när google inte granskar program innan de släpps…

  • dexter

    @ Johan
    Hur fick du in iPhone där?!? Det är väl inte så de pumpar ut uppdateringar snabbt som ögat direkt… Och WinPhone7 har jag ingen aning om hur det funkar, men det gick väl inte direkt snabbt på WinMob?!?

    @ Christian
    Hur skulle en sån struktur se ut? Kända utveckalre är väl de man känner till och litar på. Även om du känner till och litar på en behöver ju inte jag göra det. Eller menar du att vi ska ha en AppStore där nån sitter och godkänner vad vi vill ha?

    Det är väl minst lika illa med de hål som kommer med WebKit. Den attakers ju ganska hårt på iPhone sidan och väller in till oss. Hoppas bara det är bättre under hos oss…

  • Anonym
  • Michko

    Hoppas det dyker upp på HTC snart, man vill ju inte ha sånt skit :)

  • Jeon

    Detta visar bara hur sjukt läget är. HW-sidan ska fokusera på design, kameran osv. Vill de leka mjukvaruutvecklare så ska de bara släppa det som vanliga appar. Lite elakt men jag hoppas nästan att några får telefonen kapad och sen stämmer skiten ur htc & co. Money talks.

  • Skywriter

    Installationen sker inte direkt i smyg. Man får ett meddelande om den precis som vanligt.

    ”Meanwhile, the additional app installations would have appeared in the phone notifications, ostensibly alerting a user to the installation.”

  • ivarson

    Och man hittar applikationerna i applistan eller?

  • Anonym

    @ Anonym

    Det absolut bästa är nog att städa lite på marknadsplatsen men fortsatt tillåta användare att installera program från andra ställen och samtidigt uppdatera operativsystemet med säkerhetspatchar osv. automatiskt och gratis oavsett vilken hårdvara man råkar sitta på.

    Hur idiotiskt skulle det inte kännas om man inte fick senaste hotfixen eller service packet till Windows bara för att man köpt en Dell istället för HP eller, än värre, för att man köpte fel modell av Dell -datorn och fick en som Microsoft inte utsett till speciell utvecklarversion?

    Givetvis kommer det förr eller senare en tid när det är rimligt för uppdateringarna att sluta komma men det borde vara en fråga om minst 2 – 3 år, inte 2 – 3 månader, särskilt då de flesta köper sina telefoner med abonnemang som binder dem till hårdvaran under så långa perioder.

    Jag hoppas Microsoft gör rätt med sin plattform så att det går att hoppa till WP7 för Google verkar sakna den nödvändiga ansvarskänslan för att det ska gå att lita på Android i längden. Det är nog för mycket att hoppas att Google ska känna något behov av att alla användare har den senaste och säkraste versionen av operativsystemet; företaget säljer reklam, inte hård- eller mjukvara.

  • Anonym

    Alltså? Är detta ens ett problem?

    Som jag ser det så är detta endast ett säkerhetshål om de programmen som installerades i ”smyg” får ANDRA rättigheter än det första programmet.

    Varför görs inte detta tydligt i artikeln? Det är ju det som är det viktigaste av allt?!??!

  • Marre

    soyd :Det skulle lösa mycket om man kunde neka samt ge program rättigheter i installern. Det är lite mycket skit program som ska ha access till call records etc. Whats up with that shit?Det sämsta med Android är ju detta tycker jag. Då är det ändå typ “opensource” men ändå ska jag tvingas ge program efter program rättigheter till saker de inte ska ha eller bör ha för att fungera.90% av alla program är spyware. HELT SJUKT! Rapportera inlägg

    Japp, finns redan en change request på det.
    http://code.google.com/p/android/issues/detail?id=6266

  • Thomas

    Anonym :Alltså? Är detta ens ett problem?Som jag ser det så är detta endast ett säkerhetshål om de programmen som installerades i “smyg” får ANDRA rättigheter än det första programmet.Varför görs inte detta tydligt i artikeln? Det är ju det som är det viktigaste av allt?!??! Rapportera inlägg

    håller med! känns som att det alltid blir en virushysteri vid minsta grej… känns som att så länge man kollar vad appen ber om för rättigheter så är det inga problem!

  • Anonym

    Det är uppenbarligen rätt viktigt när Google släpper en patch direkt och alla teknik siter typ skriver om de…ska man bara ignorera potentiella säkerhetshål?

  • Micke

    Man blir lätt lite blase vad gäller dessa rättigheter,samsungs accuwether klocka tex som vill ha rättigheter till i princip allt på telefonen och den får man väl anta vara ok ändå.

  • söder

    Har någon med Nexus one fått en uppdatering? Jag har då inte märkt något.

  • henke

    Betyder det att man är säker från den buggen om man sitter på 2.2.1?

  • Anonym

    master_of_rock :Då är alla tillverkare mer eller mindre tvungna att släppa en uppdatering. Och då kan det snabba på 2,3 uppdateringen kanske om de ändå skall hålla på. (HTC Desire här)

    Min gissning är att det snarare försenar 2.3. Vanligtvis arbetar man med olika ‘branches’, så det här kommer att gå in som buggfix på den version som tillverkaren redan levererat till sina telefoner, och kan därmed eventuellt dra utvecklare ifrån 2.3 branchen.

  • galaxy i7500

    Någon som vet vad man har för rättigheter som konsment om leverantören (samsung i mitt fall) inte lagar detta sälerhetshål? Given reklamationsrätt eller?

  • rtardart

    Anonym :Som jag ser det så är detta endast ett säkerhetshål om de programmen som installerades i “smyg” får ANDRA rättigheter än det första programmet. Rapportera inlägg

    http://www.mobil.se/articles/Android-appar-kan-installeras-i-smyg-1.377449.html

    ”Vad som gör det extra allvarligt är att applikationerna som installeras i smyg får tillgång till delar av telefonen utan att användaren ens har gett den synliga applikationen åtkomst till dessa delar av systemet. I det här fallet var det applikationer som skulle kunna positionera telefonen, kopiera inlagd kontaktinformation och skicka betal-sms.”

Aktuellt


LGs senaste toppmodell G3 är nu tillgänglig i Sverige.

Android på Prisjakt

LG Nexus 5
Sony Xperia Z1 Compact
HTC One (M8)
OnePlus One
Sony Xperia Z1
Asus Google Nexus 7 2013
Asus Google Nexus 7

Populära ämnen

Senaste nyheterna om

Allt om

Sweclockers RSS