Android lukker sikkerhedshul

Artiklen blev oprindeligt publiceret den 5/11/2013

Nyeste version af Googles operativsystem Android til smartphones lukker et hul i evalueringen af signaturer for apps.

Sårbarheden gør det muligt at snyde beregningen af en kontrolsum, der skal sikre, at der ikke er ændret på programmet. Sårbarheden ligner to sårbarheder, der blev kendt i sommer. De skyldtes, at systemet ikke to højde for, at der kunne være flere udgaver af samme fil pakket ned i en zip-fil.

Sikkerhedshullet er lukket i Android 4.4.

Foruden rettelsen indeholder den nye version to forbedringer af sikkerheden. Den ene består i, at Android nu advarer brugeren, hvis en app forsøger at tilføje en ny certifikatautoritet til styresystemet. Det vil typisk ske som led i et man-in-the-middle-angreb.

Den anden forbedring ligger i, at operativsystemet nu gennemtvinger flere begrænsninger på, hvad apps får lov til. Det sker ved, at det indbyggede SELinux kører i såkaldt Enforcing mode. Det kan gøre det sværere at udnytte bufferoverløb, skriver Stefan Tanase fra sikkerhedsfirmaet Kaspersky.

Anbefaling
Opdater til Android 4.4, når det bliver muligt.

Links

• Yet Another Android Master Key Bug, blogindlæg af Jay Freeman
• Android 4.4 arrives with new security features - but do they really matter? Blogindlæg fra Kaspersky