(Bilde: Shutterstock / Zimperium (montasje))

– Verste Android-sikkerhetshull noensinne

Nesten alle Android-telefoner er berørt.

Sikkerhetsselskapet Zimperium har oppdaget alvorlige sikkerhetshull i Android, som de mener er er de verste i Android noensinne. Og sikkerhetshullene berører nesten alle Android-telefoner på markedet – rundt 95 prosent, skriver Zimperium i et blogginnlegg.

Det var Joshua Drake hos Zimperium som oppdaget sårbarhetene, som befinner seg i et multimediabibliotek i Android som kalles Stagefright. Biblioteket inneholder programkode for prosessering av en rekke populære multimediafiler, og er laget i C++.

Ifølge Drake kan ondsinnede hackere utnytte sårbarhetene ved å sende en spesiell multimediamelding (MMS) til telefonen. Alt angriperen trenger, er brukerens telefonnummer.

Angriperen kan så kjøre egen kode på telefonen og eventuelt ta kontroll over telefonen. Og det er ikke sikkert brukeren merker noe til angrepet, siden det er mulig å sende en MMS som automatisk sletter seg selv før brukeren oppdager den – for eksempel midt på natten når brukeren ligger og sover.

Sikkerhetsselskapet vil gå ut med mer detaljert informasjon om sikkerhetshullene på sikkerhetskonferansen Black Hat USA og Def Con 23 i neste uke.

Har varslet Google

Stagefright brukes ifølge Computerworld ikke bare til avspilling av multimediafiler, men også til å automatisk generere miniatyrbilder av videofiler eller til å hente ut metadata fra video- og lydfiler – for eksempel om spilletid, oppløsning og så videre. Det betyr at du kan bli rammet av sikkerhetshullet bare ved å kopiere infiserte filer til telefonen, ved å laste dem ned, eller åpne en nettside med det infiserte multimediainnholdet.

Ifølge Computerworld er ikke Zimperium sikre på hvor mange apper som bruker Stagefright, men det antas at de fleste apper som håndterer mediafiler i Android bruker biblioteket på en eller annen måte.

Zimperium  har laget «patcher» som tetter sikkerhetshullene og sendt disse til Google. Ifølge sikkerhetsselskapet reagerte Google raskt, og fjernet sårbarhetene fra interne utgaver av Android-kildekoden. Patchene har blitt gjort tilgjengelig for telefonprodusenter som er med i Open Handset Alliance – men erfaringsmessig tar det lang tid før alle telefoner er oppdatert. Dermed vil svært mange brukere kunne være berørt av sikkerhetshullene i lang tid. Drake tror ifølge Computerworld at maks 20 til 50 prosent av Android-mobilene på markedet vil bli oppdatert.

Zimperium berømmer imidlertid Mozilla, som har tettet sikkerhetshullet i de siste versjonene av Firefox for Android. Men Android-telefoner med Firefox vil antagelig likevel være berørt av sårbarhetene via andre deler av systemet.

På PC-er har Adobe Flash vist seg å ofte være utsatt for sikkerhetshull:
Slik fjerner du Flash og hindrer dataangrep mot PC-en »

(Kilder: Zimperium, Digi, Computerworld

Kommentarer (25)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen