Fråga: Kan Androidsystem infekteras med skadlig kod genom andra filer än .apk-filer?

Hej!

Jag mailade en fråga till BitDefender för några veckor sedan då jag tyckte att deras scan av mobiltelefonen (Samsung S8) gick alldeles för fort för att ha gått igenom samtliga filer i telefon och externt minneskort.

Svaret som kom idag var att de bara scannar APK-filer, eftersom androidtelefoner inte kan infekteras genom något annat filformat.

Finns det någon här som vet om detta stämmer? Rimligen kan tyckas att ett antivirus-program borde söka av alla filer på begäran för att förhindra spridning till andra operativsystem.

Hur effektivt deras antivirusprogram för android är på en rootad telefon är också en bra frågan.

Väntar med spänning på svar!

 

Antivirus på mobiltelefoner är ändå orm-olja eftersom du har en app store och google/apple som kollar appar där efter skadlig kod. Så långt den är möjligt att upptäcka iaf.

För att svara på din fråga, det har förekommit buggar där tex mediafiler kunnat exekvera skadlig kod. Men då är det beroende av buggar i specifika versioner av android.

 

Alla filer ska tolkas av systemet på ett eller annat sätt så ur den synvinkeln kan vilken fil som helst innehålla skadlig kod. Hur illa det kan gå beror på vilka privilegier komponenten som ska tolka filen har. Om komponenten har rootprivilegier kan en skallig fil tex resultera i rootaccess. Det här gäller förstås alla operativsystem och inte bara Android. Jag tror faktiskt att en jpeg-bild kunde används för att få fullständig kontroll över Windows för några år sedan.

Jag misstänker att @Skinnbanjo syftar på mediebiblioteket Stagefright som tolkade mediefiler. Jag tror det är en modul till kerneln och en bugg i den gjorde att ett skadligt MMS kunde ta över telefonen.

Jag håller även med om åsikten om antivirus: de behövs inte på Android och gör ofta mer skada än nytta på andra operativsystem.

Överlag har Android väldigt starkt skydd vad gäller isolering av appar. Grundprincipen är att ingen app ska kunna interagera med en annan app om de inte båda aktivt vill det.

 

En fråga från okunniga mig, viken skada gör antivirus ofta på olika operativsystem?

 

Ett antivirus är ett program som måste köras på ganska låg nivå i systemet för att kunna utföra sina uppgifter. En del installerar till och med sina egna rootcertifikat för att kunna dekryptera och analysera krypterad HTTPS-trafik. Eftersom ett antivirus ska tolka alla typer av filer som kommer in i systemet måste det vara extremt välskrivet för att inte innehålla buggar som kan utnyttjas av en skadlig fil. Med andra ord, en skadlig fil kan attackera själva antivirusprogrammet när det analyserar filen och utnyttja dess buggar för att ta sig in i systemet. Den skadliga filen får då samma privilegier som antivirusprogrammet och eftersom de ofta kör på ganska låg nivå och interagerar mycket med OS:et kan en skadlig fil få ganska starka privilegier.

Ett antivirus kan alltså förstora attackytan istället för att minska den.

Vad gäller Windows är rekommendationen att använda den officiella Windows Defender från Microsoft. Den sköts och uppdateras åtminstone av Microsoft som är måna om säkerheten.

 

Ok, tack så jättemycket för det utförliga svaret. Finns det något alternativ som rekommenderas för macOS?

 

Jag använder själv Linux så jag har inte så bra koll, men i likhet med Linux och Android så är Mac OS UNIX-like och sådana system har en helt annan arkitektur än Windows. Jag skulle nästan vilja påstå att man inte behöver ett antivirus på sådana system, men finns det officiella från tillverkarna är det nog sådana jag skulle rekommendera. Men jag har inget konkret tips.

Men tipset för Android är i alla fall att inte använda antivirus alls.

 

Ok, tack för all information, den uppskattas verkligen.

 

Det finns olika nivåer för hur skadlig kod kan infektera en dator eller mobil. Ponera att ett program har en säkerhetsbrist, t.ex. en musikspelare som har en buffer overflow som låter en attackerare bygga en speciell ljudfil som exekverar kod när filen spelas upp. Då kommer en attackerare kunna exekvera kod med samma behörighetsnivå som musikspelaren har.

Android (utan root) och iOS isolerar appar från systemet och ger dem relativt lite behörighet. För att kunna komma ett steg högre upp och exekvera kod som root måste man hitta en bugg i antingen operativsystemet själv eller någon annan komponent som redan körs som root. Det är precis så utvecklarna bakom olika jailbreaks till iOS gör för att lyckas installera Cydia och köra osignerad kod. På Android behövs det inte eftersom man själv kan installera om telefonen och på så vis få root-tillgång utan att behöva hacka systemet.

Generellt skulle jag säga att du inte behöver antivirus alls på telefonen, eftersom antiviruset (speciellt utan root) ändå inte kan göra särskillt mycket för att ha koll över vad andra appar pysslar med.

Det största säkerhetsproblemet i mitt tycke är att i princip alla dagens telefoner delar minne mellan basbandsprocessorn och applikationsprocessorn. Din telefon har alltså två processorer, en "vanlig" där appar och liknande körs, och en separat som sköter bland annat LTE-radion och annan hårdvara. Processorn som sköter radion har ofta mycket legacy-kod i sig från 90-talet för att t.ex. hantera den äldre GSM-standarden. Om den ena processorn blir hackad, så blir automatiskt den andra det eftersom de har samma fysiska minne.

På 90-talet tänkte man inte direkt på säkerheten på samma sätt som idag och på den tiden förutsåg man inte heller att man i framtiden kommer kunna köpa basstationer enkelt på Ebay, utan det var otänkbart för dem att folk skulle sätta upp egna nät och attackera telefoner. Ett bra exempel på detta är en bugg i iPhone 4 som tillät nätet att arbiträrt skriva över minnet i telefonen genom att variera längden på en parameter som heter TMSI som skickas över när telefonen ansluter till nätet. I GSM-standarden står det att denna parameter alltid ska vara en viss längd, men nätet har ändå rent tekniskt möjlighet att skicka vilken längt som helst och iPhonen kollade alltså inte att längden var korrekt.

Det stämmer att Linux och Mac OS använder en annan design (den heter POSIX). Den stora skillnaden mellan Windows och POSIX är att Windows har extremt många fler så kallade syscalls, d.v.s. kommandon som program kan be operativsystemet att utföra. Linux har cirka 150-200 syscalls medans Windows har över 10 000.

Det säger sig självt att komplexiteten och mängden kod i ett operativsystem ökar ju fler syscalls du har, och därför blir även attackytan mycket större i Windows. Dessutom har Microsoft väldigt mycket legacy-grejer kvar i Windows eftersom de vill att program från typ 1998 ska fortsätta fungera.

Edit: Forumet verkar automatiskt lägga in en länk till Ebay bara man skriver deras namn... Rätt korkat i mitt tycke.