Forskare vid NC State University har genomfört en studie av åtta Android-telefoner (HTC's Legend, EVO 4G och Wildfire S; Motorolas Droid och Droid X; Samsungs Epic 4G; Nexus One och Nexus S från Google) och hittat mer potentiellt störande information. Medan Nexus-telefonerna och OG Droid (telefoner som körs med Android) hade ett mindre säkerhetsproblem, nämligen ett kodfel i pico-appen som skulle göra det möjligt för en annan app att radera installations-appen för pico, gick inte resten av gruppen så väl. Alla telefoner med anpassade versioner av Android hade allvarliga säkerhetsproblem
I synnerhet genom att utnyttja dessa läckta funktioner kan en opålitlig app på dessa drabbade telefoner lyckas rensa ut användardata på telefonerna, skicka ut sms-meddelanden (t.ex. till premiumnummer), spela in användarsamtal eller få användargeo-platser - allt utan att be om tillstånd.
Uppenbarligen eftersom de systemapplikationer som byggs av leverantörer som HTC, Moto och Samsung alla är signerade med samma digitala signeringsnyckel kan de kommunicera och få tillgång till varandras data. Även om detta är en allvarlig säkerhetsbrist, är det också möjligt att det gjordes genom design så att applikationer som Friendstream eller Social Hub enkelt kan analysera sociala nätverks-appdata och samla dem, och dessa forskare hittade just en ny metod för att utnyttja det systemet.
Medan implikationerna för Android är nya är idén att utnyttja attacker på populära datorplattformar inte. När Android växer i popularitet kommer fler att fokuseras på att hitta (och rapportera) exploater mot operativsystemet. Forskare har pliktfullt rapporterat frågan till Google och alla OEM: s, även om de uttrycker svårigheter att hantera HTC och Samsung som (från och med detta skrivande) forskarna säger har varit "mycket långsamma i att svara, om inte ignorerar våra rapporter / frågar".
Ska du vara orolig? Inte mer än du var igår. Malware existerar eftersom ett helvete av många människor använder Android, och användarna är inte begränsade till att installera endast godkända applikationer. Om dessa typer av rapporter stör dig - och det är ett ganska giltigt svar - har du fortfarande möjligheten att installera bara betrodda applikationer av kända utvecklare, eller andra alternativ för att inte köra den drabbade firmware på din telefon. Och medan ingen vill höra mig säga det igen (men jag håller på att i alla fall), är Nexus-enheter som kör Android som det skrivits återigen immuna mot dessa allvarliga problem, så är alltid det bättre valet om du uppskattar din säkerhet.
Källa: NC State University CSC (.pdf)
