Hul i Android står åbent

Artiklen blev oprindeligt publiceret den 30/7/2014

Et sikkerhedshul lader skadelige apps give sig ud for at være apps, som Android har tillid til. Fejlen findes i stort set alle Android-smartphones.

Sårbarheden ligger i den software, der installerer apps. Softwaren tjekker ikke, at signaturen som er brugt til at signere en apps certifikat med, er korrekt. Dermed kan angribere fx udvikle en falsk signatur for Adobe, signere et dattercertifikat med den og derefter signere deres app med det. Herefter kan den skadelige app få adgang til de samme funktioner som ægte Adobe-apps.

Ifølge sikkerhedsforsker Jeff Forristal fra Bluebox har fejlen været i Android siden januar 2010. I april i år udsendte Google en sikkerhedsrettelse, der lukker hullet. Der går som regel lang tid, fra Google udsender en rettelse, til de forskellige producenter af Android-baserede smartphones opdaterer softwaren i deres telefoner.

Angribere kan kombinere sårbarheden med en sårbarhed relateret til Adobe System webview. Den sårbarhed giver mulighed for at få øgede privilegier. Den findes i Android før version 4.4 (KitKat).

Anbefaling
Afvent en rettelse, der lukker hullet.

Links

• Android Fake ID Vulnerability Lets Malware Impersonate Trusted Applications, Puts All Android Users Since January 2010 At Risk, blogindlæg af Jeff Forristal
• Android busted for carrying Fake ID: OS doesn't check who really made that 'Adobe' plugin, artikel fra The Register