Google kom denne uken med en ny versjon av selskapets årlige sikkerhetsrapport for Android, denne gang for 2015. Det beskrivelsen av skadevaresituasjonen som er det mest interessante.
Til tross for at selskapet har innført manuell kontroll, som et tillegg til automatisert kontroll, av apper som distribueres gjennom Google Play, er det fortsatt langt flere enn bare en håndfull som installerer det Google kaller for potensielt skadelige apper (PHA – Potentially Harmful App). I praksis omfatter PHA alle apper med en eller annen form for uønsket funksjonalitet. Google beskriver uttrykket og kategoriene nærmere i dette separate dokumentet.
Selskapet opplyser at det ble installert PHA-er på færre enn 0,15 prosent av enhetene som kun har apper fra Google Play, mens andelen er på 0,5 prosent for enheter som også har apper fra utsiden. Enheter som ikke er knyttet til Google Play, er ikke med i undersøkelsen.
Det er altså ingen tvil om at det er langt mer risikabelt å laste ned apper fra utsiden av Google Play enn fra innsiden, men det risikoen er også til stede for dem som kun holder seg til Google Play.
Likevel mange
0,15 prosent høres kanskje ikke så mye ut, men gitt at det finnes mer enn 1,4 milliarder aktive Android-enheter (tall fra september 2015), betyr dette at PHA-er ble installert fra Google Play på over 2 millioner Android-enheter i fjor. Men ifølge Google har selskapet registrert en nedgang 40 prosent i antallet forsøk på PHA-installasjoner fra Google Play mellom fra 2014 og 2015.
Nedgangen gjelder alle de vanligste kategoriene av PHA, bortsett fra trojanere, hvor Ghost Push-familien var nesten totalt dominerende.
Kategoriene datainnsamlere, spionvare, ondsinnede nedlastere og sms-svindel har derimot blitt betydelig mindre gjeldende.
Sårbarhetene
I sikkerhetsrapporten til Google omtales også den relativt nye ordningen med månedlige sikkerhetsfikser til Android, som har kommet etter at sikkerhetsforskere i større grad enn tidligere har lett etter (og funnet) sårbarheter i operativsystemet, kanskje delvis på grunn av dusørordningen for Android-sårbarheter som Google lanserte i juni i fjor.
I løpet av 2015 ble det utgitt 173 sikkerhetsfikser til Android, de aller fleste i perioden august til desember.
Men langt fra alle nyere Android-enheter mottar disse oppdateringene. Samsung er blant selskapene som lover månedlige oppdateringer, men bare til utvalgte modeller.
Google ved sikkerhetsansvarlig for Android, Adrian Ludwig, har gjentatte ganger understreket at selv om mange av sårbarhetene som har blitt oppdaget i og fjernet fra Android, er alvorlige, så er de samtidig svært vanskelige å utnytte. Dette skyldes til dels ny sikkerhetsteknologi som kommet i Android de siste årene.
Fragmenteringen hjelper
Men det er også en annen faktor som gjør at det ikke er så alvorlig at ikke alle Android-enheter mottar sikkerhetsoppdateringen, nemlig det som ofte kalles den fragmenterte Android-plattformen.
Det finnes mange tusen ulike Android-enheter, ofte med en tilpasset utgave av Android og varierende utgaver av Linux-kjernen og biblioteker.
I foredraget som vises i videoen ovenfor, et opptak fra Black Hat Asia-konferansen som ble arrangert for en knapp måned siden, forteller hackeren Dino Dai Zovi at eksempler på angrepskode som kan utnytte for eksempel sårbarheter i det mye omtalte Stagefright-biblioteket, må ta i bruk minneadresser som er fastvare-spesifikke.
Det vil si at en gitt angrepskode trolig bare kan brukes for å angripe en spesifikk utgave av et produkt, med en spesifikk versjon av Android (se opptaket fra 42 minutter og 30 sekunder).
– Androids fragmentering er en massiv sikkerhetsfordel, og det er her mangfoldigheten ved å være åpen kildekode, faktisk hjelper, sa Zovi.
– Den samme sårbarheten berører en milliard enheter, men krever enormt mye investering i tid for å utvikle noe som vil være nyttig for angriperen, sa han.
