Et sikkerhedsfirma fra Israel har fundet en såkaldt zero-day svaghed i kernen af Linux-operativsystemet, og da Android er baseret på Linux, er det mobile styresystem også ramt af hullet, som kan udnyttes af hackere til at snyde softwaren til at give dem “root access” til din smartphone. Det skriver Wired.
Og hvad værre er: Tilsyneladende har denne sårbarhed i Linux og Android eksisteret i næsten tre år!
Perception Point, som det israelske firma hedder, forklarer på deres blog, at problemet vedrører en slags nøglering i Linux-platformen, som systemet stiller til rådighed for apps, som så kan gemme krypteringsnøgler og anden følsom information dér.
Desværre skulle det være “ret ligetil” at udnytte svagheden, der i sidste ende vil kunne lade hackere slette eller installere filer og apps på din mobil – samt give dem adgang til dine mest følsomme oplysninger.
Sikkerhedsfirmaet understreger, at man ikke har fundet eksempler på, at svagheden er blevet opdaget og brugt af hackere i den virkelige verden, men opfordrer alligevel kraftigt til, at udviklermiljøet omkring Linux og Android får lukket hullet hurtigst muligt.
Som nævnt er der egentlig tale om en svaghed i Linux, men alle Android-enheder, som kører version 4.4 eller herover – det vil sige næsten 70% af alle Android-enheder – vil også kunne angribes på grund af svagheden. Kort sagt vil din Android-mobil være sårbar, hvis du har opgraderet eller købt den inden for de seneste to år.
Forskellige Linux-leverandører som Red Hat og Ubuntu har allerede opdateringer klar, som lukker af for den omtalte svaghed, men Google har endnu ikke meldt ud, hvornår de kan være klar med en opdatering, som løser problemet. Og selv når en sådan opdatering dukker op, kan der gå lang tid, før den når frem til netop din mobil. Det afhænger af, hvor hurtigt hardware-producenten får tilpasset opdateringen til deres modeller.
Opdatering 22. januar:
Google har nu ytret sig officielt om den svaghed i Linux og dermed Android, som vi skriver om herover. Ifølge dette blog-indlæg har Perception Point ikke informeret Google, inden man gik offentligt ud med advarslen om svagheden i Linux-kernen. Google mener ikke, at så stort et antal Android-enheder som påstået – nemlig over to tredjedele af alle Android-mobiler og -tablets – er berørt af problemet. Blandt andet vil ingen enheder med Android 5.0 eller herover være truet, idet systemet ikke tillader 3. parts apps at få adgang til den berørte kode.
Ikke desto mindre har Google udviklet en såkaldt patch til Android, som løser problemet. Denne patch er nu sendt videre til producenterne af Android-hardware, og det vil blive en obligatorisk opdatering, når producenterne i løbet af de kommende dage og uger, pusher patchen til brugernes mobiler og tablets.
