Kodeanalyseselskapet Coverity, som i sin tid fikk i oppdrag av USAs Department of Homeland Security å «sikkerhetsklarere» elleve prosjekter innen åpen kildekode, har gransket kildekoden i Android-kjernen i mobiltelefonen HTC Droid Incredible, en Android-mobil som HTC produserer for mobiloperatøren Verizon.
Rapporten vil bli publisert i morgen. Financial Times har fått tak i rapporten, og skriver om den i dag: Android faces critical security study.
Ifølge Coverity, er det flere programmeringsfeil i kjernen. Disse gjør Android – ikke bare i mobiltelefoner fra HTC – sårbar for angrep, der uvedkommende kan skaffe seg tilgang til brukeres e-post og annen følsom informasjon.
Coverity antar at Google vil være i stand til å tette hullene gjennom en direkte systemvareoppdatering over det vanlige mobilnettet. Google og HTC er underrettet om sårbarhetene. Coverity sier de vil offentliggjøre tekniske detaljer rundt hullene innen et par måneder, og håper de vil være fikset innen da.
Rapporten understreker at feilfrekvensen – målt i antall feil per tusen linjer kode – er lavere i Android-kjernen enn gjennomsnittet for prosjekter i åpen kildekode. Det er likevel urovekkende at 88 Android-feil innebærer det Coverity anser som «høy risiko». Referatet i Financial Times nevner særlig feil knyttet til minnetilgang og minneråte, antakelig en henvisning til det svært utbredte fenomenet usikrede buffere.
På bloggen til Coverity er det en artikkel med tittelen «Deluge of buggy mobile devices» – «Flom av lusete mobile enheter» – der det påpekes at stadig flere avanserte mobiltelefoner rammes av programmeringsfeil i applikasjoner og operativsystemer.
– Denne trenden med «få det ut, fiks det seinere» er blitt det normale i konkurrentenes forsøk på å overgå hverandre, konstaterer Coverity.
De peker på at programmeringsfeilene avdekkes gjerne i løpet av noen timer etter at systemene er kommet i salg. Det var blant annet tilfellet da Apple lanserte IOS 4.1 i september. Det ble straks påvist 24 sikkerhetshull. 80 prosent kom fra WebKit, en åpen kildekodemotor for nettlesere som også brukes i Android og Chrome, slik at de samme feilene også finnes der. Ifølge Coverity er det den samme type feilene som travle programmerere har begått i alle år, særlig usikrede buffere.
– Ser vi tilbake til 1980- og 1990-tallet, da Windows var det dominerende operativsystemet, var sikkerhetsproblemene utløste av den samme type feil. Nå står vi overfor en ny generasjon programvare, men vi må lære den samme leksa enda en gang, skriver Coverity.
Kodeanalytikerne peker på at sikkerheten i mobile enheter også undergraves av systemkompleksitet. Hvert apparat har kode på flere nivåer – brikke, drivere, system, applikasjon – og samspillet mellom kode må testes på alle nivåer. Det tar gjerne mer tid enn markedskåte tilvirkere tillater.
Per i dag er ikke ondsinnet kode på mobiltelefoner noe stort problem: Det er enklere å stjele enn å hacke en mobil, og så mange brukere er så flinke til å miste dem at også stjeling er i overkant av den anstrengelsen som kreves for å lese andres e-post og annen interessant informasjon.
Som argument mot dette peker Coverity på at stadig flere transaksjoner pågår over mobiltelefoner. Det kan følgelig fort bli interessant for kriminelle å besitte evnen til å utnytte systemfeilene på dagens avanserte mobiler, mener selskapet.
