Säkerhetsforskaren M.J. Keith vid säkerhetsföretaget Alert Logic meddelade i går att han överväger att visa hur enkelt det går att hacka Androidtelefoner genom att använda skadlig kod på en webbsida.

Attacken kan enligt M.J. Keith utföras på alla telefoner som kör Android 2.1 eller tidigare. Han uppger att buggen ligger i webbläsarmotorn Webkit som används av Android.

Google uppger att företaget redan känner till buggen.

– Vi är medvetna om problemet i Webkit och hur det kan användas för att påverka webbläsaren i äldre versioner av Android. Problemet drabbar dock inte Android 2.2 eller senare versioner, säger Googles talesman, Jay Nancarrow.

Google uppger att Android 2.2 körs på 36,2 procent av alla Androidtelefoner. Äldre modeller som exempelvis G1 och HTC Droid Eris kan ligga i riskzonen då det är möjligt att dessa inte kommer att få några fler uppdateringar.

Eftersom Android avskärmar olika komponenter av operativsystemet så kan attackkoden endast användas för att ge tillgång till den information som webbläsaren har tillgång till. En hackare kan således inte få till tillgång till en användares telefonbok eller andra funktioner på telefonen.

Enligt Google så kan en hackare potentiellt få tillgång till användarens surfhistoria, alla bilder som tagits med kameran och allting som finns lagrat på ett eventuellt sd-kort.

Attackkoden från M.J. Keith belyser dock ett större problem med Androids blandade ekosystem av tillverkare och operatörer. När Iphone eller Blackberry kräver en buggfix kan Apple eller Research in Motion ”pusha” ut uppdateringar till användarna. Med Android så måste dessa uppdateringar gå via telefontillverkaren.

– Problemet med Android just nu är att användarna inte kan uppdatera sina mobiltelefoner på en gång, säger Robert Graham på säkerhetsföretaget Errata Security.

Videoklippet nedan demonstrerar M.J. Keiths attackkod.


IDG News