Undersøgelse: Næsten alle Android-mobiler lækker info

 

En undersøgelse fra Universitet i Ulm påviser at ClientLogin i Android 2.3.3 eller ældre sender ukrypterede personlig oplysninger.

Der har længe været fokus på sikkerheden eller manglen på samme i Android i forbindelse med malware, men nu viser en tysk undersøgelse, at det også halter med selve styrestystemets måde at håndtere sikkerheden i indbyggede og tredieparts applikationer.

Kort fortalt bruger applikationer som for eksempel Google Calendar og Contacts en protokol til bekræftelse af data, kaldet Client Login. ClientLogin synkroniserer så oplysningerne med Googles servere. Problemet er at ClientLogin ikke krypterer oplysningerne, hvorfor de ligger frit tilgængelige og forholdsvist nemt kan tilgås udefra via en ukrypteret WiFi-forbindelse, som for eksempel et Wi-Fi hotspot.

Ifølge forskerne er det forholdsvist nemt at tilgå oplysningerne, også i stor skala. En hacker kan for eksempel sætte et ukrypteret hot-spot op, der “narrer” mobilerne til at tro at det er et kendt åbent hotspot, som Starbucks, TDC-hotspot e.l. Android mobiler er automatisk indstillet til at koble sig op på sådanne kendte netværk, når de støder på dem, og de fleste mobiler vil således koble sig på og begynde at synkronisere helt automatisk, hvilket ikke vil sende oplysningerne til Google, men til hackeren.

Google har lukket hullet i Android 2.3.4 og Android 3.0, hvorfor det ikke er et problem for de allernyeste mobiler og for tablets, der kører Android 3.0, men eftersom 99% af alle Andorid-enheder stadig kører Android 2.3.3 eller ældre udgaver af styresystemet kan man næppe kalde det en løsning på problemet!

Endvidere lukker sikkerhedsopdateringen i 2.3.4 heller ikke alle hullerne, idet synkronisering med Picasa stadig foregår ukrypteret. Google oplyser at de arbejder på en løsning, men eftersom en løsning først kan indkorporeres i en ny version af Android er det igen højest tvivlsomt om – og i givet fald hvornår – den kommer ud til forbrugerne.

Igen viser denne afsløring at Androids største problem er fragmenteringsproblematikken. Google kan være nok så opmærksom på sikkerhedshuller og lave alle de opdateringer de orker, men når producenter og udbydere holder igen med at saende opdateringerne ud på deres enheder kan det jo ligesom være ligemeget.

På I/O-messen i sidste uge lancerede Google et program, der skal gøre en ende på fragmenteringen og med tiden “samle” Android igen, så der kun findes én udgave til både mobil og tablets, som producenterne så forpligter sig til at opdatere på i mindst 18 måneder. Programmet er blevet mødt med skepsis af iagttagere og analytikere, men det ser ud til at det er mere nødvendigt end nogensinde, hvis Android skal have en fremtid.

Kilde. The Register

 

© 2011, https:. All rights reserved.