Telefontillverkares Android Tweaks orsakar säkerhetsproblem

Den öppna karaktären hos Googles Android-operativsystem innebär att tillverkare kan lägga till sitt eget mjukvarulager till telefonen – vilket hjälper dem att sticka ut från mängden med ett annat utseende och funktioner. Ändå visar ny forskning att sådan anpassning också kan vara ansvarig för en mängd säkerhetsbrister som kan göra telefoner mer sårbara för hackare.





Enligt en studie utförd av datavetenskapsforskare vid North Carolina State University, var ändringar som tillverkarna gjort av Android-programvaran ansvariga för mer än 60 procent av säkerhetsbristerna som upptäckts i telefoner från olika telefonföretag. A papper (pdf) om arbetet är planerat att presenteras på onsdag kl ACM-konferens om dator- och kommunikationssäkerhet i Berlin.

Vi blev förvånade över den övergripande osäkerheten, säger en av författarna, Xuxian Jiang , en docent i datavetenskap vid universitetet, som forskar om mobil skadlig kod. Jiang ser det som en indikation på att vissa telefonleverantörer inte tar säkerheten på tillräckligt stort allvar, och att de känner konstant press att ta ut nya mjukvarufunktioner på marknaden.

I sin studie tittade forskare på 10 Android-smartphones; fem körde varianter av den fjärde generationens Android-programvara och fem använde den andra generationen (mellan dessa två släppte Google en version 3.2, även känd som Honeycomb, som var avsedd för surfplattor). Forskarna testade en handenhet med var och en av de två Android-versionerna från Samsung, HTC, LG och Sony – inklusive den populära Samsung Galaxy S3 och HTC One X – samt två Google-märkta telefoner (Nexus S och Nexus 4, tillverkade av Samsung respektive LG) som huvudsakligen fungerade som referensramar, eftersom de inte innehåller samma skräddarsydda mjukvaruskal som finns på många andra Android-telefoner.



För att ta reda på vilka säkerhetsbristerna var och var de kom, delade forskare först upp apparna som laddades på smartphones i tre kategorier, och noterade att de kom från Googles Android Open Source Project, som skapades eller anpassades av smartphonetillverkaren, och som kom från externa programmerare.

De tittade sedan på data och funktioner som appar vill använda – till exempel möjligheten att komma åt dina foton eller slå dina kontakters telefonnummer – för att ta reda på vilka appar som begärde behörigheter de faktiskt inte använde. Appar med fler behörigheter än de behöver är problematiska eftersom de kan sätta personliga data som användarnamn och kreditkortsnummer i större risk att äventyras om den appen hackas.

Forskarna fann att 86 procent av apparna som förinstallerades på dessa smartphones bad om fler behörigheter än nödvändigt, och de flesta av de så kallade överprivilegierade apparna hade lagts till av smartphonetillverkare som en del av deras anpassningsprocesser. Eftersom de är integrerade med operativsystemet på en låg nivå, kan appar som lagts till av tillverkare få större behörighetsåtkomst än de som görs av externa apputvecklare.



Marc Rogers, främsta säkerhetsforskare på det mobila säkerhetsprogramvaruföretaget Lookout, säger att problemet med överprivilegierade appar är vanligt för apputvecklare i allmänhet, inte bara specifika leverantörer. Om du tittar över marknaden så finns det en hel del applikationer som har det här problemet där apputvecklaren har sagt: 'Jag kommer att begära så många behörigheter som möjligt ifall jag behöver dem', säger han.

Forskare letade också efter säkerhetsproblem som kan låta appar agera som om de har tillstånd att göra saker de inte är behöriga att göra, eller som kan låta appar dela känslig användardata utan tillåtelse.

Sammantaget fastställde forskare att mellan 65 procent och 85 procent av de 177 säkerhetsbristerna på Samsung-, HTC- och LG-smarttelefonerna härrörde från tillverkarens anpassningar; 38 procent av de 16 svagheterna på Sonys smartphones kom från den källan.



Rogers, som har sett leverantörsanpassningar skapa säkerhetsproblem tidigare (som ett som härrörde från Samsungs anpassning av Galaxy S3-låsskärmen), säger att oavsett var problemen kommer från, bidrar alla ändringar av Android-programvaran till fragmentering av operativsystemet och kan introducera sårbarheter som inte spåras av Google.

Studieforskarna säger att de försökte nå smartphonetillverkare för att informera dem om säkerhetsproblemen de hittade, men alla har inte svarat. Smartphonetillverkare och Google svarade inte på förfrågningar om kommentarer till den här historien.

Ändå hoppas Jiang att studien kommer att hjälpa leverantörer och användare att känna igen sådana säkerhetsproblem. Förhoppningsvis kommer nästa generations telefoner att bli mycket säkrare, säger han.



Dölj