Säkra Android-telefoner direkt ur lådan – du kan inte skydda dig

Säkerhetsfirma varnar för mobiloperatörernas tillägg till Android

Android-telefoner är osäkra direkt ur lådan. Det avslöjar en rapport från säkerhetsfirman Kryptowire.

I rapporten står att Kryptowire hittade sårbarheter i minst tio olika mobiltelefoner som såldes via mobiloperatörer på den amerikanska marknaden.

Sårbarheterna är mer eller mindre allvarliga och det är inte alla som kan bedömas som kritiska. Men att användarna är utsatta för risker direkt när de sätter på sina nya telefoner är minst sagt beklämmande.

Problemet är inte operativsystemet Android, utan de ändringar som mobiloperatörerna gör innan de säljer telefonerna. Det handlar bland annat om att förinstallera applikationer, ändra i gränssnittet och lägga till annan kod till Android som oavsiktligen öppnar för hackare.

Asus Zenfone 4 Max
Telefoner från Asus omfattas av sårbarheterna. På bilden visas en Asus ZenFone 4 Max.

Mobiler med Android från Asus och LG är sårbara

Rapporten från Kryptowire presenterades under Black Hat-konferensen i Las Vegas den 4 till 9 augusti. Där avslöjades att säkerhetsfirman primärt fokuserat på telefoner från tillverkarna Asus, Essential, LG och ZTE.

I ett exempel som vara extra allvarligt lyfter Kryptowire fram mobiltelefonen Asus ZenFone V Live.

Mobiltelefonen är sårbar direkt ur lådan på ett sätt som gör att hackare kan ta över hela systemet i samma stund som användaren sätter på den. Det gör att hackare kan ta skärmdumpar, spela in videor från skärmen och skicka allt till sig själva; bland annat.

Det finns inte heller något som hindrar hackare från att ringa samtal, läsa och skicka SMS-meddelanden och mer.

Kryptowire har kontaktat flera amerikanska mobiloperatörer och upplyst dem om vad de hittat. Men även om operatörerna väljer att göra något åt sakan så är det inte säkert att användarna blir säkrare för det.

Sårbara Android-telefoner kan skyddas av uppdatering

För att skydda både befintliga telefoner och användare behövs en uppdatering. Den skickas over-the-air (OTA) helt automatiskt, så användarna behöver inte besöka någon webbsida eller liknande för att ladda ner den. Problem är att användarna aktivt måste acceptera och installera uppdateringen i telefonen. Och det är något som många väljer att inte göra.

Sårbarheter av det här slaget – alltså direkt ur lådan – är knappast något nytt för Android-användare. Men det är synnerligen otrevligt att mobiloperatörerna aktivt bidrar till att göra sina kunder mindre säkra.

“One thing that is clear is that there is nobody defending the consumer. It’s so deep in the system that the consumer might not be able to tell that it’s there. Or even if they did, they have no recourse other than waiting for the manufacturer, or the carrier, or whoever is updating the firmware to do so.”

Tacksamt nog finns en ljusning på problemet med bristande uppdateringar till Android. Med implementeringen av Project Treble blir det lättare för mobiltillverkarna att släppa ny mjukvara till telefoner som köpts via mobiloperatörer. Något som idag – på telefoner utan Project Treble – är en pina eftersom operatörerna blockerar alla uppdateringar tills de godkänts.

Om du vill läsa mer om problemet med mobiloperatörer och säkerheten i Android kan du göra det på webbsajten Wired. De har en utmärkt artikel kring denna nyhet med ytterligare information.

Källa Wired