Sikkerhetsspesialister ved IBM Security offentliggjorde i forrige uke detaljer om en sårbarhet Android Keystore, en i utgangspunktet sikker lagringstjeneste hvor blant annet krypteringsnøkler og pin-koder ofte blir oppbevart. I nyere Android-utgaver benyttes det imidlertid ofte – men ikke alltid – andre løsninger.
Sårbarheten skyldes en overflytsfeil i en buffer og åpner for kjøring av ondsinnet kode under Keystore-prosessen. Slik kode skal kunne lekke blant annet hovednøkler, nøkler som brukes av for eksempel nettbanker eller VPN-tjenester (Virtual Private Network), samt ulik innloggings- og autentiseringsinformasjon.
En ondsinnet applikasjon kan utnytte dette til å få tilgang til tjenester hvor brukerens autentiseringsinformasjon er lagret i Keystore.
Utnyttelse av sårbarheten skal ikke være enkelt. Man ifølge IBM i alle fall omgå sikkerhetsteknologier som Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR), tegnkoding og en «kanari»-basert løsning som varsler om bufferoverflyt.
Ifølge IBM Security skal sårbarheten for lengst være fjernet i Android 4.4, men ikke eldre utgaver av operativsystemet. Det er likevel mulig at enkelte maskinvareleverandører på egenhånd har utgitt en oppdatering til Android 4.3 og eldre, som også inkluderer denne sikkerhetsfiksen. Men langt fra alle maskinvareleverandører tilbyr dette til alle enheter.
Ifølge de nyeste tallene fra Google benyttes Android 4.4 bare av 13,6 prosent av Android-enhetene som har en Google Play Store-app.
Under Google I/O fortalte Android-sjef Sundar Pichai at stadig flere sikkerhetsoppdateringer blir rullet ut jevnlig sammen med oppdateringer av Google Play Services, men det er uklart om dette også gjelder oppdateringer til funksjonalitet som Keystore.
Det kan være vanskelig for Android-brukerne å vite hva som er ondsinnede applikasjoner. Med mindre man har gode grunner til det, bør man følge rådene om ikke å installere applikasjoner fra utsiden av Google Play Store. Selv om Google skanner alle applikasjonene i Google Play, hender det i blant at skadevare ikke oppdages. Man bør derfor være litt avventende med å installere nye apper fra ukjente utgivere, inntil man kan se at andre brukere har kommet med positive tilbakemeldinger om appen eller utgiveren.
