Google lukker hul i Android

Artiklen blev oprindeligt publiceret den 11/8/2015

Et alvorligt sikkerhedshul i Android giver skadelige apps mulighed for at få øgede privilegier. Der er også sårbarheder i en række udviklingsværktøjer til platformen.

Sårbarheden findes i Android 4.3 til og med 5.1 samt M Preview 1. Dermed er over 55 procent af Android-enheder berørt.

En angriber kan udnytte sårbarheden ved at udvikle en skadelig app, der ikke har brug for nogen tilladelser. Når den er installeret, kan den øge sine privilegier, så den har fuld kontrol med enheden.

Sikkerhedsforskere fra IBM X-Force har fundet sårbarheden. De fandt tilsvarende sårbarheder i seks SDK’er (Software Development Kit). Også appen til Google Play Services var sårbar.

Google har lukket hullerne i Android 4.4, 5.0 og 5.1 samt Android M.

De seks SDK-producenter har også fjernet sårbarhederne. Men udviklere, der anvender SDK’erne, skal opdatere deres framework og rekompilere deres apps for at fjerne sårbarhederne i dem.

Anbefaling
Nogle af sårbarhederne er fjernet i de nyere Android-versioner via den automatiske opdatering af WebView. Andre kan kræve, at smartphoneproducenterne distribuerer rettede versioner til deres enheder.

Links