Fake ID i Android – nyt sikkerhedshul

Et sikkerhedshul er fundet i Android-platformen. Angiveligt har hullet været der siden 2010. Fake ID i Android betyder, at Android er sårbar overfor falske sikkerhedscertifikater.

Android software

Android software

Et sikkerhedshul er fundet i Android-styresystemet. Det betyder, at størstedelen af de enheder, som kører Android er sårbare overfor hacks, der giver ”ondskabsfulde” applikationer adgang til at stjæle brugeroplysninger, læse emails og få adgang til betalingshistorik og andre følsomme data. Sådan lyder advarslen fra Ars Technica, ifølge Version2.dk.

Dette sikkerhedshul har eksisteret siden Google udsendte Android 2.1 i starten af 2010, er meldingen fra Bluebox Security.

Efterforskerne i sagen har døbt sikkerhedshullet til ”Fake ID”, da det giver adgang til Android-ressourcer, som typisk er et begrænset område forbeholdt programmer med specielle certifikater. Derfor sammenlignes det med mindreårige, som kan få adgang til en bar eller køb af alkohol ved fremvisning af et falsk ID-kort.

Der er introduceret ændringer fra Google-udviklere, der begrænser noget af skaden, som de ”ondsindede” applikationer kan gøre i Android 4.4., dog er den underliggende bug (fejl) fortsat uberørt – også i det kommende Android L.

Danmarkspremiere: Sådan er Android L

“Fake ID”-sårbarheden skyldes, at Android ikke får verificeret ægtheden af de kryptografiske certifikater, som kommer med hver application, der installeres på enheden. Det skriver Business.dk.

Programmet Android Sandboxing bruges til at kontrollere de installerede applikationer og under normale omstændigheder vil Sandboxing forhindre programmer i at få adgang til data, der tilhører andre applikationer og følsomme dele af styresystemet. Kun udvalgte applikationer får lov til at “bryde ud af” Sandboxing. En af disse undtagelser er Adobe Flash, med undtagelse i Android 4.4, som får lov til at agere plugin for andre applikationer, der installeres på enheden – hvilket formentlig er for at give animation- og grafiksupport.

En anden undtagelse er Google Wallet, som har adgang til NFC-hardware, der arbejder med betalingsinformationer.

Styresystemet vil dermed give app’en de samme specielle privilegier, som bliver givet til de legitime apps, uden nogensinde at tage sig tiden til at undersøge, om certifikatet er forfalsket.

Google har oplyst, at de vil se på problemet og har lavet en patch, der skal afhjælpe det. Dog har efterforskerne hos Bluefox endnu ikke set nogle ændringer endnu.

Mere til historien

Det er ikke kun i Android, at der er sikkerhedshuller. I juni måned skrev vi blandt andet om et sikkerhedshul i iOS 7.


Om Lene Birkeslund

Lene er IT-journalist. Siden 2006 har hun dækket mobilbranchen og utallige produktlanceringer. Hver dag er hun opdateret på den seneste udvikling og kommende trends.