Dålig säkerhet i Android..

Över 7 allvarliga säkerhetshål har hittas på mindre än en månad i Android. Google, Samsung och LG har gått ut med att de ska börja släppa uppdateringar månadsvis. Men till vilka modeller då, alla? Och när kan detta börja ske?

"NI, Google och andra tillverkare av Android-enheter! Ni måste nu ta er i kragen och sätta igång ett digert säkerhetsarbete. Se till att alla enheter ni säljer kontinuerligt får uppdateringar som täpper igen säkerhetshål och buggar. Säkra upp enheterna, och låt så gamla enheter som 3-5 år (efter sista säljdagen) få säkerhetsuppdateringar.

En 3 år gammal enhet kanske inte klarar av att köra Android 5 eller senare. Men forsätt då med att släppa säkerhetsuppdateringar för den version av Android som enheten klarar av.

Bring patch-tuesdag to Android!"

Saxat från Öppet brev till Google och andra tillverkare av Android-enheter

 

kostnaden för det öppna systemet tyvärr. kommer alltid att vara mer eller mindre ett såll.

 

Fast tror du inte att det hade funnits flera "hål" om Android varit "stängt", "hål" som inte blir "kända" för tillverkaren, men för de som utnyttjar dem?

Ledsen, men jag tycker inte att ditt resonemang håller

 

Jo sjävklart är det så jag kanske uttryckte mig lite dumt där. Det jag menar är att när alla tillverkare supplyar sina egna patchar så tar allt längre tid. För mycket modeller för många tillverkare... tiden för sårbarheten ökar markant.

 

Då så, jag där har du helt rätt. Så länga alla "kockar" ska koka sina egna brygder så kommer det inte att gå att få ett säkert Android. Android måste "renas" och uppdateringar skall kunna snabbt rullas ut, till alla Android telefoner. "Krimskrams och joxx" får mobiltillverkarna sedan böka in ovanpå det hela.

 

Ja det är ju synd att man inte kör exempelvis iPhone, då kanske man hade fått alla sina bilder stulna och utlagda på internet. Att hackare kommer åt kändisars nakenbilder som kör iPhone är ju inget konstigt för Apple utan det är hur lugnt som helst. Men en sån här sak som inte orsakat någon skada men bara upptäckts är det världens liv över. Snälla...

 

Alla operativsystem har säkerhetshål.

Bevisligen också iOS eftersom att jailbreak fortfarande finns.

 

Det du nämner beror inte på säkerhets hål på iOS och utan avancerande mail/password hackande på iCloud. Kändisarna får skylla sig själv, om dom använder enkla lösenord och blir då lätt att hacka sig in. Även jag ogillar allt som har med Apple att göra, men rätt ska vara rätt.

 

Självklart har iOS, Windows Phone, MacOS, Windows, Linux, etc sina säkerhetshål.

Men det är mycket lättare för Apple att uppdatera iOS, och Microsoft Windows Phone.

Android kan man inte hantera på samma sätt. Tänkte inte göra denna tråd till något krig mellan Android och iOS. Jag gillar Android, men både Google och övriga mobiltillverkare måste tänka till där, snegla lite på Microsoft hur de byggde upp sin patch-hantering kring Windows, och ta den till sig.

 

Fast det har inte med kändisarnas lösenord att göra, Apple har ju själva gått ut och sagt öppet att det är en brist i deras säkerhet som gjorde att en tredjepart kunde gå in återställa informationen genom att svara några frågor, som de fick obegränsade antal försök på, för att sedan få tillgång till deras konton. Det var en stor säkerhetsbrist i iOS som orsakat större skada i media än någon säkerhetsrisk i Android har gjort. Och är man supernojig gällande OS:ts säkerhet så ska man köra Blackberry.

 

Vad skall kallas säkerhetshål?

Om någon i en rootad telefon installerar suspekta appar så är det inte fel på Android om något händer, det är användaren som är en säkerhetsrisk. Samma sak om man i en icke rootad telefon installerar appar som tillåts göra en massa farliga saker. Man blir ju tillfrågad och godkänner det.

Ett säkerhetshål för mig är när man har något som kan läsa/skriva i operativsystemets filer eller i andra appars data. Utan att ha forskat i detta känner jag bara till ett sådant säkerhetshål. Den kom nyligen och det räcker med att man får ett MMS för att vara smittad. Någon som känner till fler säkerhetshål som uppfyller kraven ovan?

 

Snackar inte om rootade telefoner.

Det har tillkännagivits 7 allvarliga sårbarheter i Android, på mindre än en månad.
Det säkerhetshål du nämner, Stagefright är värre än vad du beskriver. Du behöver inte få ett MMS, det räcker med att surfa in på en webbsida som är preparerad (och hur ofta är inte typ aftonbladet och liknande sajter inte smittade med preparerade reklambanners?).

Men Stagefright är inte den allvarligaste, men är rätt allvarlig.

 

Letade för att hitta säkerhetshål som skulle kunna uppfylla min spec ovan. Förutom de som redan nämnt hittade jag två; Freak och Shellshock.

Freak

Kanske diskutabelt om det skall kallas en bug i Android, det är ju ett allmänt bibliotek som har en dålig biblioteksrutin. Sen borde den rensas bort. Som användningen beskrevs där jag läste om den krävs en "Man in the middle". Kan man fixa en sådan behövs ingen bug för att få inloggningsuppgifter. Har själv provat detta ( i mitt eget nätverk).

Shellshock

Mycket allvarlig och uppfyller min "spec". Kräver dock rootad telefon.

Försöker inte slå ner på det du säger. Jag är en stark förespråkare för bättre säkerhet i Android. En av de största missarna, som jag tror man förbättrar med version M, är att för internetåtkomst måste man ge appar allt eller inget.

 

Alltså. Det finns argument för att Android är osäkert men det är inte så farligt som alla verkar få det att tro. I nyare versioner så har android Memory adress randomization och det gör att exploits är väldigt svåra att genomföra. Äldre har också det men inte lika bra.

Faktum är att Android har en ganska robust utforming som gör att exploits i det vilda är ovanliga. Med tanke på hur många miljoner telefoner det finns med olika legacy versioner av android är det imponerande att inte *alla* är hackade varje dag. Tänk MS Blaster som gjorde att en fräsh ej uppdaterad dator blev exploitat på mindre än 5 min efter att anslutits till internet.

Sånt händer inte, trots miljoner enheter och flera kända exploits.

Dessa exploits är svåra att utforma och mass-exekvera. Den dagen en person i min omedelbara närhet utsätts för en av dessa exploits så kommer jag oroa mig men än så länge finns det knappt några dokumenterade fall av angrepp.

vad som orsakar problem är malware men det kommer man aldrig komma i från så länge som man kan installera osignerad programvara på en telefon.

Risken är bara att om ett par år (säg 5-10) så kommer script kiddies kunna angripa gamla telefoner med hjälp av enklar verktyg men då får man hoppas att dessa utsatta enheter inte längre är en vital del av ekosystemet.

Samtidigt måste man komma ihåg att mobilnätet som sådan är väldigt reglerat och skulle telefoner utsättas för storskaliga angrepp skulle nätet helt sonika släckas ned eller begränsas.

 

Det där är säkerhetsbrist i Apples iCloud tjänst och inte själva iOS.

 

mmm, var väl att man kunde köra brute force utan att bli stoppad, eller att kontot inte blev spärrat av det. Sen hjälper det självklart att ha lite svårare lösenord

 

Tråden var inte för att diskutera sårbarheter i iOS, för de finns där med. Men de kan apple fixa till på alla enheter.

Här listas nära av de senaste veckornas sårbarheter för android: http://www.mankans.com/2015/08/slutet-for-android-flera-allvarliga-sarbarheter-under-kort-tid/

Det jag ville slå ner på är egentligen inte på hur många sårbarheter som var och en av de olika mobilOS har, osv. Utan att Android kan aldrig bli säkert i och med att alla mobiltillverkare gör sin egen version av Android, samt har en uppsjö olika versioner precis som mobiler. Mobiltillverkarna kommer aldrig att kunna alla mobiler patchade. Där måste de komma på en lösning, och det snabbt.

Deras uttalande om att släppa uppdateringar månadsvis är lite tomt... för vilka kommer få de uppdateringarna?
Och idag så går alla uppdateringar via mobiloperatörerna, och jag tror knappast att de kommer låta släppa uppdateringar så ofta.

 

Open source vs closed source: Jag ser hellre att Android är open source än inte. Om man tänker efter är de flesta krypterings- och hashalgoritmerna öppna. Det gör inte att de får sämre säkerhet, snarare tvärtom. Att något är öppet innebär att någon utomstående kan granska koden, hitta fel och släppa patcher. Självklart innebär det också att någon utomstående kan hitta fel och utnyttja dem, men jag vill tro att det är fler som vill gott än ont.

Om ett OS är closed source har man inte tillgång till källan. För att hitta exploits kan man då använda sig av reverse engineering, d.v.s. utgå från svaret och ta fram frågorna som ledde till det. Nyheten om att man kunde hacka en viss bilmodell var reverse engineering. Nackdelen med closed source är att man som konsument måste lita på att företaget bakom OS:et har implementerat koden helt korrekt och att de kommer fixa framtida problem. Så sammanfattningsvis ser jag hellre att saker är open source än closed source då fler kan hjälpa till att bygga och fixa.

Stagefright: Såvitt jag har förstått är Stagefright samlingsnamnet på de 6 (nu 7) buggarna som nyligen upptäckts. Stagefright är namnet på ett bibliotek i Android som har med multimedia att göra. Företaget som upptäckte buggen och meddelade Google om den, skickade även med en patch som Google mergade. Problemet var dock att patchen innehöll en bugg. Den täppte alltså igen 6 hål och skapade ett nytt sjunde om jag förstod det rätt. Stagefrightbiblioteket är skrivet i C och den nya sjunde buggen ska tydligen ha att göra med två variabler som jämförs är av olika datatyper. Det är alltså ett fel som är ganska lätt att göra och svårt att upptäcka. Som tur är, enligt mig, är Android open source så även den nya buggen upptäcktes.

Jag tycker att Android är ett bra och tillräckligt säkert OS. Visst finns buggar och det kommer säkert upptäckas fler över tid. Jag tror dock att Google kommer fixa dem. Problemet är utvecklare som överger sina telefoner efter en viss tid. Man borde börja se telefoner mer som datorer och skicka dem säkerhetsuppdateringar med jämna mellanrum istället för att överge dem efter en viss tid. Men en del utvecklare ska ju börja med uppdateringar med jämna mellanrum.

Om ni är intresserade av Stagefright på ett tekniskt plan så kan ni lyssna på podden Security Now där de pratar den båda före och efter den sjunde buggen upptäcktes. De avsnitt som är relevanta är #518 (tid 20.12) och #521 (tid 12.40) och de finns här: https://www.grc.com/securitynow.htm. De finns även på Youtube.
#518: .
#521:

 

Malvertising är vanligt på alla OS och inte specifikt för Android. Det är ett stort problem då Javascript, Java och Flash har en del problem. Adblockers och addons i webbläsare som blockar script kan minska riskerna iaf.

Vilka fler allvarliga säkerhetshål tänker du på?

 

Visst kan du ha rätt i att de 7 sårbarheterna härstammar från samma. Samma sårbarhet som Google misslyckades att rätta till.

Synd att Android bygger på Java..

Poängen med inlägget är att säkerhetstänket måste tas till Android. Jag struntar i om det finns 1 eller 10 sårbarheter, 1 är 2 för många. Ja, alla system har sina brister. Men Android's största brist är säkerhetsuppdateringar. Som Android ser ut idag, så går det inte att få ut rättningar av sårbarheter. Android är det största mobila OS'et, därför är det ju väldigt, väldigt dumt att det inte finns en bättre hantering utav säkerhetsbrister.