Androids største problem

Androids største problem

KOMMENTAR: Androids problemer med sikkerheten vil få alvorlige konsekvenser.

Tirsdag forrige uke kom nyheten om at en rekke farlige applikasjoner hadde blitt lagt ut på Google Market.

I forrige uke fjernet Google 58 applikasjoner med skadelig innhold fra Android Market. I løpet av de fire dagene de farlige applikasjonene lå tilgjengelig på Android Market ble de lastet ned cirka 260.000 ganger.

Mange av applikasjonene var i utgangspunktet ufarlige, men har blitt lastet ned av kriminelle som har utstyrt dem med skadelig programvare. 21 av disse kom fra brukeren Myournet som hadde installert bakdører som kunne gi en hacker full tilgang til brukernes Android-telefon.

Applikasjonene har så blitt publisert på Android Market igjen.

Stjeler bildene dine og avlytter deg

Forrige uke avslørte også Netqin Mobile to nye skadelige apper, SW.SecurePhone og SW.Qieting. Den første samler informasjon fra sms, telefonlogg og bilder og laster dem til en server på nett. Den er også i stand til å hente inn gps-informasjon og kan ta opp lyd av hva som skjer rundt telefonen. Den andre videresender oppringinger til en infisert telefon videre til en tredjetelefon.

Et dilemma for Google er at selv om Google kan fikse de telefonene som er berørt, kan Google ikke tette sikkerhetshullet som gjorde det mulig å lage et slikt rootkit.

Roten til problemene er slik jeg ser det en kombinasjon av Androids åpne arkitektur, Androids måte å la sluttbrukerne få bestemme, Androids popularitet og at Android Market er vidåpent.

FOR åpent?

Android Market er åpen for alle. Det betyr at det nok bare er et tidsspørsmål før antall apps for Android passerer iOS (iPhone og iPad), og – om Android Market skal fortsette å være vidåpen – så er det vel ikke usannsynlig om det om et par år er mange ganger flere Android-apps enn iOS-apps. Mesteparten vil være skrot, selvfølgelig.

Skyggesiden med en vidåpen markedsplass, uten kvalitetskontroll, er jo at det er enkelt å plassere apper med trojanere der. Apple kontrollerer alle apper før de slipper gjennom. På godt og vondt. Apple har hisset på seg mange for å bestemme hvilket innhold de aksepterer.

Mange skyr Apple og elsker Android for denne åpenheten. Men også Microsoft har innført den samme kvalitetskontrollen og sensuren på sin markedsplass for Windows Phone 7.

Jeg hører Android-brukere som bagatelliserer denne enorme sikkerhetsutfordringen med å si at det er jo bare å lese andre brukeres erfaringer i kommentarfeltet først, men det er temmelig naivt. Det kan ta tid før noen oppdager at en app er infisert.

Håpløst å la brukeren gjøre sikkerhetsvalg

Argument nummer to er at appen, når du installerer den, vil spesifikt be om tilgang til det den trenger på telefonen for å kjøre, eksempelvis kontaktliste, å foreta telefonsamtaler eller sende sms-er. Det er altså opp til brukeren når hun blir konfrontert med dette å bestemme seg for om dette likevel er noe hun ønsker å installere.

Også det er et tulleargument i mine øyne. Brukere flest har ikke filla peiling på hva dette innebærer. De trykker bare ok. Utvikleren SMobile Systems hevder at 20 prosent av appene i Android Market krever tilgang som kan brukes til uredelige hensikter. Hele fem prosent av appene kan foreta oppringinger uten at brukeren er klar over det...

Fjernsletter apps

Google fjerner infiserte apper, og nå har de også begynt med fjernsletting av farlige apps fra telefoner som er infiserte. Problemet er at med dagens «zero-day attacks» kan faktisk en nettkriminell rekke å bli rik før Google blir kjent med og får fjernet en farlig app.

Den usensurerte markedsplassen, og den måten Google legger ansvaret på brukerne som installerer appen, er en tikkende bombe.

Avhengig av sløve produsenter

Det er også et kjempeproblem at Google lar det være opp til mobilprodusentene å dytte ut sikkerhetsfikser. Den sikkerhetsfiksen som må til for å tette det hullet som de infiserte applikasjonene benyttet kan ikke pushes ut av Google. Det er opptil hver telefonprodusent å oppdatere sine kunder med nye sikkerhetsfikser.

Det er en rimelig håpløs modell, ikke minst fordi telefonprodusentene alltid har vært mest fokusert på å dytte ut nye produkter, ikke på å vedlikeholde programvaren som ligger på de telefonene som er solgt. Blant annet Sony Ericsson har et elendig rykte for å oppdatere sine Android-telefoner.

Det er ingen andre mobilprodusenter enn Apple som har full oversikt over alle kundene og som kan lykkes med å få ut sikkerhetspatcher. Undersøkelser viser at Android-brukere i langt større grad blir sittende med gamle versjoner av operativsystemet (som har kjente sikkerhetshull).

Sikkerheten Googles ansvar

Android-plattformen dytter et ansvar over på brukerne som folk flest bør få slippe å ta. I dag er det trolig langt mer attraktivt å hacke en Android-mobil enn en pc, siden det finnes både betalingsløsninger og mye mer informasjon å få tak i. Derfor må jeg dessverre meddele at du har bare sett begynnelsen. Hvis ikke Google gjør noe dramatisk, kommer dette til å bli langt verre.

PS! Det er på tide å installere antiviruspakke på Android-mobilen din. I dag har vi også publisert en guide for Android-brukere som har lyst til å sikre telefonen sin:

Hold skurkene ute av telefonen