Sikrer Android Market etter angrep

Sikrer Android Market etter angrep

Google måtte fjernslette infiserte applikasjoner på brukernes telefoner.

Google skal bygge inn nye sikkerhetsrutiner i Android Market, i kjølvannet av angrepet som rammet tusenvis av telefoner og tvang selskapet til å fjernslette infiserte applikasjoner, opplyser Google i en blogg.

Dreamdroid et mareritt

Mer enn femti applikasjoner ble i forrige uke fjernet fra Android Market fordi de inneholdt programmet Dreamdroid, som kan stjele informasjon om mobiltelefonen eller laste ned andre skadelige applikasjoner.

Google så seg til slutt nødt til å bruke en kommando som fjernsletter infiserte applikasjoner fra brukernes telefoner.

- Android-brukere som har lastet ned en infisert applikasjon vil i løpet av tre dager motta en e-post fra adressen android-market-support@google.com som forklarer situasjonen, skriver Androids sikkerhetssjef Rich Cannings.

I tillegg til å slette infiserte applikasjoner, tvinger Google igjennom en oppdatering kalt ”Android Market Security Tool March 2011”, som fikser sikkerhetsproblemene Dreamdroid utnyttet.

Telefoner som kjører Android-versjoner eldre enn 2.2.2 er sårbare. Problemene er rettet i den nyeste 2.3-versjonen, kjent som ”Gingerbread”.

Aktivt når du sover

Sikkerhetsselskapet Lookout har analysert Dreamdroid, og avslører at blant annet at programmet er kodet slik at det bare er aktivt mellom kl. 23:00 og 08:00, ”når eieren av en infisert telefon mest sannsynlig ligger og sover og ikke merker at telefonen oppfører seg rart”.

Dreamdroid opererer i to faser: Den første skaffer seg rot-tilgang på telefonen, mens den andre fasen opprettholder en forbindelse med en kommando-og-kontroll-server slik at programmet kan laste ned og installere andre filer, skriver Lookout i sin blogg.

- Dreamdroid er å anse som en kraftig zombie-agent som kan installere hvilken som helst applikasjon i det skjulte og kjøre kode med rot-privilegier når som helst, skriver Lookout.

Dreamdroid samler og sender teknisk informasjon som IMEI og SIM-kortets IMSI-nummer, mens i andre fase samles og sendes ytterligere informasjon som produktidentifikasjon, telefonmodell, språkinnstilling, landinformasjon og bruker-id.

Google har fjernet de infiserte applikasjonene fra Android Market og utestengt brukerne som har lastet dem opp, og selskapet har også kontaktet politimyndighetene i sakens anledning.

- Sikkerhet er en prioritet for Android-teamet, og vi akter å bygge nye sikkerhetstiltak for å hindre slike angrep i fremtiden, skriver Cannings på Googles blogg.

Les om: