Android-telefoner är osäkra direkt ur lådan. Det avslöjar en rapport från säkerhetsfirman Kryptowire.
- Flera tillverkare och mobiltelefoner omfattas av sårbarheterna
- Asus, LG, Essential och ZTE pekas ut i säkerhetsrapporten
- Sårbarheterna kan lösas med uppdateringar över OTA
- Visste du att Google tagit bort mängder av appar med Windows-malware?
I rapporten står att Kryptowire hittade sårbarheter i minst tio olika mobiltelefoner som såldes via mobiloperatörer på den amerikanska marknaden.
Sårbarheterna är mer eller mindre allvarliga och det är inte alla som kan bedömas som kritiska. Men att användarna är utsatta för risker direkt när de sätter på sina nya telefoner är minst sagt beklämmande.
Problemet är inte operativsystemet Android, utan de ändringar som mobiloperatörerna gör innan de säljer telefonerna. Det handlar bland annat om att förinstallera applikationer, ändra i gränssnittet och lägga till annan kod till Android som oavsiktligen öppnar för hackare.
Mobiler med Android från Asus och LG är sårbara
Rapporten från Kryptowire presenterades under Black Hat-konferensen i Las Vegas den 4 till 9 augusti. Där avslöjades att säkerhetsfirman primärt fokuserat på telefoner från tillverkarna Asus, Essential, LG och ZTE.
I ett exempel som vara extra allvarligt lyfter Kryptowire fram mobiltelefonen Asus ZenFone V Live.
Mobiltelefonen är sårbar direkt ur lådan på ett sätt som gör att hackare kan ta över hela systemet i samma stund som användaren sätter på den. Det gör att hackare kan ta skärmdumpar, spela in videor från skärmen och skicka allt till sig själva; bland annat.
Det finns inte heller något som hindrar hackare från att ringa samtal, läsa och skicka SMS-meddelanden och mer.
Kryptowire har kontaktat flera amerikanska mobiloperatörer och upplyst dem om vad de hittat. Men även om operatörerna väljer att göra något åt sakan så är det inte säkert att användarna blir säkrare för det.
Sårbara Android-telefoner kan skyddas av uppdatering
För att skydda både befintliga telefoner och användare behövs en uppdatering. Den skickas over-the-air (OTA) helt automatiskt, så användarna behöver inte besöka någon webbsida eller liknande för att ladda ner den. Problem är att användarna aktivt måste acceptera och installera uppdateringen i telefonen. Och det är något som många väljer att inte göra.
Sårbarheter av det här slaget – alltså direkt ur lådan – är knappast något nytt för Android-användare. Men det är synnerligen otrevligt att mobiloperatörerna aktivt bidrar till att göra sina kunder mindre säkra.
“One thing that is clear is that there is nobody defending the consumer. It’s so deep in the system that the consumer might not be able to tell that it’s there. Or even if they did, they have no recourse other than waiting for the manufacturer, or the carrier, or whoever is updating the firmware to do so.”
Tacksamt nog finns en ljusning på problemet med bristande uppdateringar till Android. Med implementeringen av Project Treble blir det lättare för mobiltillverkarna att släppa ny mjukvara till telefoner som köpts via mobiloperatörer. Något som idag – på telefoner utan Project Treble – är en pina eftersom operatörerna blockerar alla uppdateringar tills de godkänts.
Om du vill läsa mer om problemet med mobiloperatörer och säkerheten i Android kan du göra det på webbsajten Wired. De har en utmärkt artikel kring denna nyhet med ytterligare information.