Alvorligt hul i Android er lukket

Artiklen blev oprindeligt publiceret den 20/11/2014

Version 5 af styresystemet Android lukker et alvorligt sikkerhedshul, der måske giver angribere mulighed for at køre skadelig kode på enheden.

Sårbarheden findes i alle versioner af Android før 5.0 (Lollipop). Den ligger i java.io.ObjectInputStream. Sårbarheden gør det muligt at køre kode som system_server.

For at udnytte sårbarheden skal angriberen få installeret en app på den sårbare telefon eller tablet-computer. Appen behøver ikke have nogen tilladelser.

Sikkerhedsforsker Jann Horn oplyser til Threatpost, at han kun har formået at få systemet til at gå ned, ikke til at afvikle programkode. Han har svært ved at afgøre, hvor let det vil være at udnytte sårbarheden til at køre kode.

Anbefaling
Opdater til Android 5.

Links