Malware och Android

Om tillverkaren av din mobil inte släpper säkerhetsfixar för din modell så är det väl något att ta upp med den tillverkaren? Kanske något att ta hänsyn till när du skaffar din nästa mobil.

Nej, men senaste Android ökar sannorlikheten att appar inte kan göra mer än vad jag godkänt.

 

Antivirusföretagen vill sälja. De artiklar de får publicerade speglar normalt inte verkligheten. De använder ”Android”, ”Symbian” och namnen på operativsystemen urskiljnings löst. Kastar här ut en utmaning: Någon som kan peka på en allvarlig trojan som sprids i Symbian 3.1 eller nyare, i Android 2.2 eller nyare om de är i orginalutförande, i.e. icke rootade om det är Android?

När de skriver om Android drar de antagligen fram allt som hänt med något de kallar ”Android” och inbegriper då säkert även rootade dito. Att köra en rootad telefon på ett främmande WiFi nät, eller att installera appar på den som inte kommer via Market är lika rekommendabelt som att lämna kreditkortet hos bartendern vid uteserveringen i Pattaya. Android har ett mycket bra skydd genom att appar körs i virtuella maskiner, Dalvik har med detta att göra. Om en app blir ”förgiftad” skall den inte kunna hämta eller påverka något annat på ett farligt sätt. Detta kortsluter man när man rootar.

Med ovanstående vill jag inte säga att det inte finns, eller framförallt, inte kommer att finnas elaka trojaner för Android. Orkar ni läsa har ni lite om det här: http://www.theregister.co.uk/2011/06/13/android_market_still_insecure/. Kolla framförallt länkarna. För ni som inte orkar läsa det kan jag lägga till att just detta hot är ganska långsökt i praktiken. Det visar dock att det är möjligt.

Värst är dock att det inte behövs några trojaner för att Android skall vara farligt. Med gratisverktyg som finns på nätet kan man sniffa inloggningsuppgifter för olika konton. Detta gäller om man använder WiFi, tror inte det är något problem om man kör data via telefonnätet. När man är utomlands kan man dock knappast använda telefonnätet av kostnadsskäl. Jag provade och sniffade inloggningsuppgifter för Hotmail, min teleoperatör, en bank, mitt kreditkortsbolag och för Gmail. Värst här är nog Gmail. Har ni köpt något på Market så fick ni registrera ert kreditkort, eller hur? Ligger era uppgifterna fortfarande kvar där? I så fall läs vidare:

Inloggningsuppgifterna krypteras med SSL, samma som bankerna använder. I många fall går detta att knäcka med gratisverktygen. Jag lyckades inte med telefonens automatiska inloggning till Gmail, denna sker varje gång du startar telefonen. Därmed inte sagt att detta inte är möjligt. Om jag loggar in på mitt Gmail konto via en dator kan jag dock sniffa inloggningsuppgifterna. Med dessa kan man sedan logga in och till exempel hämta de kreditkortsuppgifter jag lämnat där. I den bilagda bilden kan ni se vad man då får fram på mitt konto. Väsentligt här är: Nog med uppgifter för att kunna använda kortet. Det finns ju heller ingen anledning att låta de verkliga uppgifterna finnas där. Ni handlar inte oftare än ni kan skriva in uppgifterna varje gång.

Google erbjuder ett sätt som gör det säkert, mej veteligen. De kallar det 2-step verification. Man måste då ha mobilen till hands om man loggar in med en dator, för att få en extra kod för inloggning. Man har alltså en säker metod här men jag tycker inte att de hårdsäljer den.

När skall man se upp?

När du använder WiFi. Mej veteligen kan man i praktiken vara lugn när man kör data via telefonnätet, går att sniffa också men det börjar då likna agent 007. Som sagt kostar det att använda telefonnätet utomlands.

I Stockholm har jag flera gånger på McDonalds råkat ut för att man sniffar folk som ansluter sig via WiFi, utan att vara på McDonald ofta. Man blir glad när man letar och hittar en öppen site som heter något på Free---- eller Gratis----- och ansluter direkt. Har anledning att tro att de just sniffar SSL krypterade inloggningsuppgifter. På flygplatser, hotell, järnvägsstationer, torg och liknande platser kan du utgå från att sniffarna finns. Hittar du ett öppet WiFi nät där skall du utgå från att det är sniffat.

Värsta trojanen är Google?

Nedan lite uppgifter som skickas från din telefon utan att du vet det. Uppgifter som röjer min identitet är modifierade:

Nedanstående skickas när du låter din telefon kolla om det finns en uppdaterad version av Android. Varför behöver de EMEI och andra uppgifter som identifierar mig för att kolla om mitt operativsystem behöver uppdateras?

2011-05-23 18:04:57,961 POST Data (andchin.htc.com):

{"id":"713892145c37t324","checkin":{"checkin_type":"Manual","mcc_mnc":"24004","mid":"PB9920000","build":{"product":"bravo","id":"htc_wwe\/htc_bravo\/bravo\/bravo:2.2\/FRF91\/293415:user\/release-keys","revision":"129","firmware_version":"2.29.405.5 CL293415 release-keys","radio":"32.49.00.32U_5.11.05.27","carrier":"htc_wwe","bootloader":"0.93.0001","build_type":"user","changelist":"293415","serialno":"HT046PE38637"},"cid":"HTC__Y13","connection_media":"Wifi","ip":"192.168.0.173","client_version":"A2.1(Froyo)"},"model_number":"HTC Desire","logging_id":457393067113547976,"last_checkin_msec":"1306168347655","imei":"357655235836789","locale":"sv_SE","digest":"fe932123274efa7112576be2e5dfeda"}


Nedan en liten söt sak som bakas in i applikationer. Vet inte vilken av mina applikationer som har den i sin kod:

2011-05-23 18:12:27,599 POST Data (data.flurry.com):

# # # #0# 2Ð #E7KLM8E54HRT5IGBRTX 1.0.0.983 #AND713892145c37t324 #,2#?S #0#ž#Ô # device.model
HTC Desire #build.brand #htc_wwe #build.id #FRF91 #version.release #2.2 # 1.0.0.983 #0#ž#Ô ##t #@M#ð#+o&@1»šO?#tB@ ÿ # #SignOut # MyInfoOpened # #ContactDetailsShown # #ContactListOpened # #Language # #ContactProfileShown # # #Language # #Language #svenska #ContactListOpened #ContactDetailsShown #ContactProfileShown #ContactListOpened #ContactListOpened MyInfoOpened #SignOut #

Observera att den färgade koden är samma som den som skickas till Google, man identifierar alltså mig. Gå in på www.flurry.com och kolla vad de erbjuder. Det som skrämmer mig mest är att deras tjänst är gratis. De tjänar alltså pengar på de uppgifter de får från oss på något sätt vi inte känner till. Jag har inte kunnat läsa mig till att någon av mina appar använder en sådan tjänst.

Vad göra?

Ovanstående uppgifter är krypterade med SSL, det stoppar ”de ärliga”. Ett problem är att de befogenheter vi ger apparna vid installationen är mycket ”grovmaskiga”. Vi ger dem i allmänhet obegränsad tillgång till Internet, finns ingen anledning för funktionen att göra så. Man skulle även kunna ge oss en log över vilka kontakter som tagits och av vem.

Ett annat exempel är flurry.com ovan. Gissar att detta körs med samma befogenheter som programmet det är installerat i. Vet inte vad t.ex. ContactListOpened står för. Om huvudprogrammet har befogenheter att öppna mina kontakter så kan man gissa vad det innebär.

Grundproblemet är att vi inte vet vad som sker eller vad uppgifterna man hämtar används till. Det skickas en massa från våra telefoner utan att vi vet vad det är, vad det används till eller att vi kan påverka det.

 

bilden till mitt inlägg ovan.

 

Vet inte varför du tycker att jag ska göra det när det enda jag menade på att alla inte är intresserade av att läsa särskilt mycket om det, de flesta som får en ota uppdaterar säkert men de som måste ansluta luren till datorn för att uppdatera kan säkert missa. Ärligt talat så bryr jag mig personligen inte om ifall htc uppdaterar, kan inte dra nytta av det ändå längre iom att jag kör custom rom.

 

Enligt http://slashdot.org/story/11/06/16/2127255/New-Android-Malware-Attacks-Custom-ROMs så ska man vara extra försiktig med vad man installerar om man har annan "ROM" än original.

 

andrioid är sårbar även om du har av program så kan hackare stänga

andrioid är sårbar även om du har av program så kan hackare stänga av av programet tack vare en bug i samtliga andrioid versioner Google Andrioid Market =osäkert programen apparna kan vara modiferade utan att ni vet om det men ta inte mina ord på det installera era appar om ni känner er trygga

Android flaw can disable, corrupt AV tools - ZDNet Asia News

 

Man skall inte glömma att om stolpskotten inte köpte som nu t.ex. telefoner så skulle vi säkert ha ett riktigt begränsat utbud. Om ens dagens avancerade smartphone.

Om det skulle bli ett krav att uppdatera sig om tekniken för mycket för att kunna använda den så är det ganska lätt att se att då skulle den inte sälja. Användarvänligheten är ett måste om man vill ha kunder utöver de som är i någon form av expert, läs har mer än ordinär kunskap, på området.

Men när det kommer till säkerhet så är det lätt att avfärdas som stolpskott?
Om man inte innehar tillräcklig kunskap (vad som är tillräcklig kunskap är odefinierat) så får man skylla sig själv?

I pappersamhället så har vi en hel drös av konsumentskydd men när det kommer till det elektroniska samhället så har vi inget skydd förutom våran inföskaffade kunskap.

Jag köper inte det.

Men visst "Kina-grepp á la App Store" drabbar oss alla, men det drabbar oss alla också om de icke "tech-sawy" undviker android.

-----
För min del, som är helt ny till android. Så har jag efter en vecka drabbats av att få en betaltjänst som jag inte beställt. Jag har hämtat hem program från android market.

För att undvika detta så måste jag alltså vara påläst om vad programmet tillåter på min telefon.

Det kan aldrig blii acceptabelt, inte ens i närheten av att kunna säga att jag tillhör gruppen 'stolpskott'.

 

I säkert 99,9% (om inte 100%) av fallen det handlat om appar på Market så bör kommentarerna och betyget på appen talat för att det var något skumt. I andra fall har det ju varit appar från andra ställen än Market och då bör man vara försiktig om man inte vet vad det är eller litar på dess källa. I det sistnämnda fallet är det ofta antingen uppenbara piratkopior eller någon app innehållande nakna/lättklädda tjejer i någon form om man ska tro de artiklar man sett. I det fallet borde väl det uppenbara vara att undvika att installera appar av den typen på sin telefon.

Annars finns ju exempelvis Amazon Appstore där appars kontrolleras innan, om det är det man söker. Kan vara problem att använda just i Sverige än dock.

Som sagt har dessa företag som nästan alltid publicerar artiklarna någon form av ekonomiskt intresse av att måla upp en bild av att malware lurar bakom varje hörn. Ofta är det det intresset väldigt direkt.

 

(Håller med om det du skrev i resten av texten också.)

Även om jag kanske målade upp en nattsvart bild så påminde du om en sak som jag borde ha tänkt på. Vet inte hur det är med andra operatörer men Tre har också en hel del bra appar på sitt Planet Tre. Om än att de flesta/många kostar pengar och även i en del fall är dyrare än på Android market så skulle jag tro att det är ett säkert ställe om man vill minimera riskerna.

Och det kan jag inte glömma bort heller.