»Hovednøglen« til Android opdaget

Næsten 900 millioner mobiltelefoner og tavlecomputere kan blive fuldstændigt overtaget af hackere.

Det er lykkedes IT-sikkerhedsfirmaet BlueBox at manipulere ved mobilstyresystemet Androids indbyggede sikkerhedskontrol, så de har kunnet ændre på allerede installerede programmer, uden at Android har sagt stop. Skærmbilledet viser, at BlueBox har kunnet indsætte sit eget navn i en af kernedelene af Android. Illustration: BlueBox Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

En »hovednøgle«, der kan give hackere uhindret adgang til samtlige Android-telefoner siden 2009, er blevet opdaget.

Det er et IT-sikkerhedsfirma, det amerikanske BlueBlox, der har opdaget sikkerhedshullet, som gør det muligt, at en hacker får fuld kontrol med mobiltelefonen eller tavlecomputeren og kan bruge den til hvad som helst, herunder at stjæle data (elektronisk post, SMS-beskeder, dokumenter m.m.), aflytte samtaler ved at optage dem, tænde for kameraet eller til udsendelse af spambeskeder.

900 millioner aktive Android-brugere

Ifølge britiske BBC rammer opdagelsen alle udgaver af internetgiganten Googles mobilstyresystem Android siden 2009 (fra version 1.6 af Android). Google selv har ikke endnu kommenteret nyheden, selv om BlueBox informerede internetgiganten om det i februar, hvor det blev opdaget.

Problemet er alvorligt på grund af Androids store udbredelse. 74,4 procent af alle leverede mobiltelefoner i januar-marts 2013 var ifølge analysehuset Gartner med Android som styresystem mod 56,9 procent for et år siden, mens Apples iOS-styresystem går tilbage fra 22,5 procent sidste år til nu 18,2 procent. Ifølge analyseselskabet Canalys har Android en markedsandel på verdensplan inden for både smartphonetelefoner og tavle-PCer på 60 procent mod Apples iOS' markedsandel på 19 procent.

Ifølge Google selv har 900 millioner aktiveret et Android-styrestem til dato.

Sikkerhedskontrollen kan snydes

Sikkerhedshullet, som ligger i selve programmeringen af Android, rammer den måde, som Android håndterer sin kryptografiske eller kodede bekræftelse af rettigheder over for programmer, som installeres på telefonen. Det er et check, der skal sikre, at et program er originalt og ikke er blevet pillet ved, når det installeres. Men teknikerne hos BlueBox har ifølge eget udsagn fundet en måde at snyde kontrollen på, så det er muligt at ændre på programmerne, så de foretager ondsindede handlinger. Dermed kan manipulerede programmer alligevel blive installeret og få de rettigheder, som det ægte program ville blive tilladt. Kontrollen skal nemlig sikre, at en opdatering af et program kun kan ske, hvis producentens digitale signatur i programmet altid er den samme, så programmet får samme rettigheder som før.

Hvis det skal lykkes for en hacker at udnytte sikkerhedshullet, kræver det dog først, at det lykkes at placere falske programmer i Google Play, som er Googles netbutik med småprogrammer/apps til Android.

Producenter skal sikre opdatering

BlueBox anbefaler, at man er ekstra opmærksom på at se efter, at et program, som man ønsker at installere, faktisk kommer fra den producent, som det umiddelbart oplyser.

Det er op til den enkelte producent af Android-udstyr at sørge for, at de fornødne opdateringer af styresystemet kommer ud til brugerne. Android bygger på Linux, som er et gratis styresystem, og som mobilproducenterne derfor selv kan ændre på. Det gør de i stor stil for at adskille sig fra de mange andre, som også sælger Android-telefoner.