Heartbleed er gen-genopstået i androidverden
15/08/2015 | Posted by steenjensen under BYOD, Hosted MDM, Mobil device management, Mobil-sikkerhed.dk, mobiltity, XenMobile |
|
En sikkerhedsbrist i Android, giver hackere mulighed for at tage kontrollen med en Android-enhed ved at sende en MMS. Fejlen påvirker den del af Android OS som kaldes stagefright, der i sig gør smartphones og tabletter i stand til, at vise forskelligt medieindhold. Bugen giver en ondsindet video mulighed for at levere software, der vil køre på telefonen og potentielt give mulighed for at få adgang til data på enheden samt adgang til kamera og mikrofon. Problemet er, at Googles messaging app, Hangouts, automatisk pre-processer modtaget videoer. Så hvis en ondsindet video modtages som MMS-besked, vil den straks overføres til enheden, før man ved af det. Så faktisk er brugeren ikke engang nødvendig for at afspille en given ”hacket” video. Google har annonceret, at de nyere versioner af Android beskytter brugerne fra de værste virkninger af sårbarheden. Sikkerhedseksperter kalder bug’en “heartbleed-bug til mobil”, med henvisning til dels den forrige Android-bug af slagsen og dels den fejl, der udsatte millioner af websteder for farer, for et års tid siden. I form af en fejl i open-source krypteringsbiblioteket OpenSSL. Forskeren, der opdagede problemet, videregav detaljer til Google for et par måneder siden, og har endda produceret patches til fejlen. Han lovede også at vente 3-måneder, før bug’en blev offentliggjort ,så Google fik tilstrækkelig tid til at rette fejlen. Men opdagelse fremhæver blot et andet sikkerhedsproblem ved Android og vel egentlig alle smart enheder: den hastighed, hvorved rettelser modtages af slutbrugerne. Google, udvikleren af Android, kan ikke skubbe patches til de fleste Android-enheder der er fremstillet af andre selskaber. Hos bluebox kan man tjekke status for skellige varianter af Android og deres status over for heartbleed: https://bluebox.com/technical/heartbleed-bug-impacts-mobile-devices/