Malware och Android

http://www.intomobile.com/2011/06/07/norton-android-malware-problem-just-beginning/

I följande länk kan man läsa en del om de briser som finns i Android market. Nu ska man ta detta med en nypa salt p.g.a. att det är Norton, som är ett säkerhetsföretag med skydd för Android, som säger allt detta men det ligger lite i det de säger. Själv är jag inte så oroad då jag känner att jag har koll men det är ju lite tråkigt att Google inte har den koll jag tycker de borde ha!
Dessutom med olika Markets från olika leverantörer så blir det ju ännu bökigare!?!?

Vad tycker ni? Borde Google öka säkerheten genom med risk för att blir sega som App store för Ipåne eller strunta i det hela?
Det jag känner mest oro för är ifall ett användarkonto som har en app som är populär blir hackad och lyckas få ut fulkod i den appen. Har ju autoupdate på en del grejer och det kan ju sluta illa

Lite nervös blir jag i alla fall när jag läser detta!

 

Google har ju tagit bort ca 50 appar för att det varit skit i dem så helt taget i luften är det inte

 

Som en medveten användare tycker jag inte att man har speciellt mycket att vara rädd för. Installerar man appar på market från utvecklare man litar på samt att man studerar de permissions en applikation kräver kommer man långt. De mesta av attackerna har antingen varit någon app som har med "sex" att göra eller en ompacketering av en populär app. Båda dessa fall upptäcks om man följer mina förslag.

Vad gäller att en utvecklares konto hackas och någon börjar sprida elaka appar genom kontot så tycker jag att det är en ytterst liten risk. För det räcker inte bara för en hackare att komma över en utvecklares kontouppgifter, utan för att en app skall publiceras måste den också signeras med en nyckel som en utvecklare fått av Google då denna person registerade sig. Detta innebär att hackare även måste ha tillgång till utvecklarens dator och eftersom utvecklare är kunniga datorpersoner så är den chans också mycket liten.

Men jag håller med om att mer behöver göras på market, men Google ska ändå ha lite credit. De införde nyligen top developer och Editors choice vilket är ett steg i rätt riktning. Det jag skulle vilja se är en delad market där man har en avdelning som nu och en "barnsäker" där endast kontrollerade appar finns. Alltså applikationer kontrolleras där av Google på ett liknande sett som Apple gör. Sedan kan man då ställa in på enheten vilken market som skall visas.

Ett större orosmoment som jag har är att enheter inte uppdateras. Vi vet att det är bara cirka 10 % av alla nuvarande enheter som har Gingerbread och många av telefonerna i omlopp idag kommer ej heller att se den versionen. Och det som jag är rädd för ska hända är att det dyker upp någon liknande bugg som "pdf buggen" på iPhone i Android. Den buggen gjorde det möjligt att jailbreaka en telefon genom att endast besöka en webbsida.

 

Ett OS blir inte säkrare än vad användaren gör det. Upplys stolpskotten istället för att införa något Kina-grepp á la App Store som drabbar oss alla.

 

Jag tror det blir svårt att informera alla. Titta på alla med en PC och Windows. Alla vet att det finns virus och att man måste tänka lite innan man installerar. Gör något det? Väldigt få och de har kundskap. Produkten i sig måste vara säker vilket Android även får ses som men att alla inte får uppdateringar är ju ororande!! Men Market i sig måste nog bättre sig lite. Lite tajtare regler och restriktioner. Hur svårt skall det vara för Google att bygga en "robot" som snabbt granskar det en app gör för att annalysera skumma betende mönster? Vill inte ha en App Store men något bättre vore inte helt fel. Hoppas på en bättring i alla fall. För Androids skull så hoppas jag det.

Sedan skiter ju de flesta i säkerhet. Ända tills de blir av med pengar? DÅ är det synd om dem istälet

 

Granskar det en app gör? Hur skulle det gå till? Hur länge ska appen köras? Hur ska roboten veta hur appen kan användas?

På vilken platform ska den köras? Tex, den kanske bara gör något elakt på en specifik version av HTCs version av Android. Det är ju inte bara säkerhetshål i Android som utnyttjas av elaka appar, säkerhetshål som tillverkare som HTC mfl infört förekommer ju också.

Ska den ta hänsyn till rättigheter som appen begär? Tex, om en app begär "skicka sms" och sen skickar sms, är det något elakt?

 

Jag tror inte det är så svårt. AV företag gör det redan idag med filer i Windows. Man tittar både på vad applikationen laddar vid start samt hur koden ser ut. Det är med andra ord inte någon exakt vetenskap men det hindrar ofta kända "hack" att cirkulera runt igen som skett på Market.
Exakt hur AV företag gör vet jag inte men reoboten skall se över koden och se ifall den innehåller konstiga kodsnuttar som kanske skulle hämta saker som IMEI nummer eller skicka SMS till betal nummer mm. Sedan kan man inte skydda sig helt men det vore ett bra skydd emot att man enkelt lägger upp fler appar med samma skadliga kod.
Sedan är detta LÅNGT ifrån falesafe men ändå!

 

Jaha, du tänkte att det ska köras på mobilen? Isf tycker jag det är bättre att man fixar säkerhetshålen istället för att skriva ett program som försöker upptäcka om någon utnyttjar dem.

Hur skulle ett sådant program se skillnad på en app som läser IMEI nummer eller skickar betal SMS med onda eller goda avsikter? Om man nu inte vill utsätta sig för det så kan man ju enkelt välja att inte installera appar som kräver rätten att läsa IMEI eller skicka sms.

Det Android behöver är en tydlig policy från varje tillverkare där de klart och tydligt skriver hur länge de tänker underhålla en mobil med säkerhetsfixar och sen att de faktiskt håller det. Idag är det ju bara Nexus One och Nexus S mobilerna som fått säkerhetsfixar i någorlunda god tid. Resten av Android mobilerna får man ju kasta och köpa en nyare model. Inte en så bra strategi ur kundens perspektiv iaf.

 

Nej jag menar att Google skall köra detta innan det lägs ut på Market. På sådant sätt kan man fånga upp vissa problem. Ett av dessa problem är ju att en "dålig" app inte behöver utnyttja ett säkerhetshål utan med tillräkligt med rättigheter så kan den dola fritt Så detta vill jag att Google testar innan appen kommer ut på Market. Skulle det se skumt ut så kommer den inte ut på Market innan man tittat noggrannare. Tar inte alla men kanske en del och det är ju ett steg att gå.
Sedan håller jag med om att Android lider av fragmenteringen av OS version. Google bör styra lite mer här och ge klara direktiv

 

Visst, man kan ta bort rättigheterna att kunna skicka sms eller läsa ut IMEI. Men då skulle man ju inte längre kunna skriva någon app alls som kan göra det. Skulle bli ramaskri tror jag om man inte längre kan använda appar som Handcent mfl.

Eller så kanske användare kan börja bry sig lite om säkerhet? Hade folk brytt sig så hade de inte köpt mobiler från HTC, Samsung mfl med äldre versioner av Android med kända säkerhetsbrister. Men nu gör ju folk det så varför ska då tillverkarna bry sig? Och Google kan nog inte tvinga dem till något, för då skulle de lämna Android och gå över till något eget. Eller bara använda Open Source delen av Android och skicka med någon egen Market utan något av Googles appar (Gmail, Talk, Market, Maps mm).

 

Hur ska man kunna veta vilka utvecklare som är att lita på och om man hittar några hur ska man då kunna få de appar man vill ha och behöver. Hur ska jag veta om appen jag stöter på är av orginalutgivaren eller en ompackad om det är en ny app man inte använt innan, hur ser jag det? Och enbart för att det tidigare varit mest sex och ompackade filer så är ju det ingen garanti för att det kommer att vara så i framtiden med, en ond person kan ju skapa appar de också.

 

Om det är något IT brahchen har lärt mig så är det att användare inte bryr sig om säkerhet, de bryr sig om användarvänlighet.

Jag säger absolut inte att man ska ta bort rättigheter. Du missförstår mig helt. Det jag säger att Google skall scanna alla appar innan de kommer ut på Market. Hittar man kod som beter sig lite konstigt eller innehåller redan känd skadlig kod skall den inte publiceras på market utan utvecklaren skall förklara sig. Användaren skall inte märka detta alls utan de enda som skall notera detta är utvecklare som kan bli lite drabbade för att deras app nekas. Dock för varje app som roboten går igenom så blir den lite smartare.

Så med andra ord inga hinder för användare utan mer bara en scanning för appar innan de når market! Detta kommer kanske inte ta allt men om det tar bort 75 % så är det ju en bra början + att den blir bättre och bättre ju längre tiden går. Dessutom finns det appar redan idag att börja scanna.
Man skall som sagt heller inte scanna dem som installerade utan scanna koden i appen. Spar tid och CPU kraft att slippa installera mm.
Jag hoppas Google inför något som detta. Kanske mer en partner vem vet

 

De flesta bryr sig inte ens om användarvänlighet. Spotify appen är ju tex jättepopulär trots att den inte ens kommer ihåg vilken spellista man senast lyssnade på om man lämnat den pausad för länge.

Dessutom tycker en del säkert att det är helt okej att dela med sig av sitt IMEI nummer, position, appar de har installerade osv bara de får använda appen gratis.

Att avgöra vad en app gör genom statisk kodanalys är fruktansvärt svårt, speciellt om delar av koden är krypterad på något fiffigt sätt, kanske tom laddas ner on-the-fly.

 

appel
Klart man blir irriterad över det i spotify, men inte mycket man kan göra åt det mer än maila spotify och hoppas de uppdaterar så man alltid kommer tillbaka till sin spellista.

Tror faktisk att merparten inte ens har en aning om att det kan vara risk att ladda hem appar eller att man kan riskera att skicka info. Alla sitter inte på forum om sina mobiler.

 

True

Sedan tror jag att det skall gå bra att scanna koden. Tydligen skall nästan alla appar vara möjliga att göra reverse engenering på som man kan läsa i artikeln. Jag tror det vore en bra start av Google. Om det sedan tog bort endast 5 % så är det 5 % mindre skit som kommer in. Något måste de i alla fall göra. För som det ser ut idag förstår jag att det kan bli problem.

 

Nä, bryr man sig inte så utsätter man sig alltid för risk. Lite som att gå ut och gå i trafiken utan att lära sig att läsa skyltar eller se sig för.

När det gäller Spotify så kan man ju också sätta ett lågt betyg i Market, men inte ens det bemödar sig folk.

 

Läsa koden är inget problem. Men att förstå vad den gör kräver desto mer jobb.

Och de tar ju faktiskt bort appar med skadlig kod när de upptäcks. Och de kan ju mycket väl hindra appar med känd skadlig kod från att laddas upp. Men som med all signaturbaserad teknik så krävs det ju inte mycket ändring i koden för att den ska slippa igenom en sån kontroll så det är tveksamt om det skulle göra någon nytta om de nu hade något sånt.

 

Men om man ska sitta och läsa på en massa forum om alla produkter man använder så får måste dygnet ha dubbelt så många timmar. Jag sitter här för att jag har ett intresse av just mobiler och teknik. Men i princip anser jag att tex en mobiltelefon eller en tv bara ska funka och gör de inte det så lämnar man in dem. När jag hade jobbmobil som man i princip inte fick göra nått med, välja mailapp och lite andra kontorsprogram var allt så läste jag inte ett skit om den.

Skulle aldrig lagt in en custom rom på min telefon om jag inte varit intresserad av att läsa om det och försöka lösa de problem som uppstår

 

Man behöver ju inte läsa på forum. Räcker ju att kolla om man har senaste versionen av Android (2.3.4 just nu, kan hända att äldre versioner räcker om tillverkaren av ens mobil backportat relevanta säkerhetsfixar) och göra en rimlighetsbedömning på säkerhetskraven på en app innan man installerar. Det är en kostnad man får ta när man skaffar en mobil som är en liten dator med alla problem det för med sig.

 

Det är ju inte ens alla lurar som får nyare versioner av android, min legend lär aldrig få högre än 2.2 från htc, lär inte komma så många uppdateringar från htc mer till den. Och att du har senaste android är ju inge garanti för att inte appar har backdörrar eller innehåller annat skit