I måndags gick säkerhetsfirman Zimperium ut med att de hittat ett allvarligt säkerhetshål i Android, som gör det möjligt för hackare att köra igång farlig kod bara genom att skicka en infekterad videofilm via MMS till en mottagare. Buggen som gör det här möjligt ligger i en Android-funktion vid namn Stagefright, avsedd för att behandla mediafiler mottagna via meddelanden.
Du har säkert redan läst om det här, och det ska understrykas att Google har tagit upptäckten på allvar. Men även om Google snabbt fixar en säkerhetsuppdatering för Android, så lär den inte nå de flesta användare. Eftersom det är mobiltillverkare och teleoperatörer som har ansvar för att distribuera uppdateringar till sina användare, hamnar lösningar för sådana här säkerhetshål i en flaskhals – något som är väldigt allvarligt.
Nya versioner och uppdateringar av Android skickas inte ut av Google själva. Det är mobiltillverkare och operatörer som har detta ansvar. Skälet är att Android som bekant utvecklas med öppen källkod, vilket har gjort att många mobiltillverkare och operatörer har skapat sina egna varianter av Android. Därför är det upp till dem att patcha och uppdatera sina Android-varianter, och sedan distribuera ut det till kunder och användare.
Det här är en enorm flaskhals. Du har säkert märkt hur lång tid det kan ta innan du får uppdateringar av Android. Det kan ta månader efter att Google lanserat ett nytt Android, innan din leverantör pushar ut det. Och det är inte ens säkert att du får uppdateringen. Äldre smartphones bryr man sig inte om att uppdatera.
Ett problem med Android är att det är mobiltillverkare och teleoperatörer som har ansvar för att uppdatera Android hos kunderna.
Säkerhetshålet som Zimperium har hittat, beräknas finnas på cirka 95 procent av alla Android-enheter – vilket i praktiken innebär ungefär 950 miljoner smartphones och surfplattor. Hur många av dessa som kommer få en säkerhetsuppdatering för att täppa igen hålet är omöjligt att veta. De enda vi kan vara säkra som får det, är de som kör Googles egna Android-version.
Stagefright-buggen gör att angripare kan köra farlig kod på din Android-enhet, genom att baka in koden i en mediafil som skickas via MMS. Om inkomna meddelanden förhandsvisar mediafiler, vilket sker om du tar emot meddelanden via Google+ Hangouts, körs koden automatiskt. För att hindra detta kan du stänga av automatisk nedladdning av bifogade mediafiler i MMS. Det kan du läsa mer om här.
Problemet med att tillverkare och operatörer hanterar uppdateringar har inte konkurrenten Apple, eftersom de kontrollerar hela ledet av iPhone och iPad, och operativsystemet iOS. Microsoft har dock gjort likadant som Google. I och med Windows 10 kommer Microsoft att själva ta hand om uppdateringar, för att se till att smartphones med Windows 10 Mobile hålls uppdaterade.
Källa: Zimperium
