Forskere ved NC State University har udført en undersøgelse af otte Android-telefoner (HTC's Legend, EVO 4G og Wildfire S; Motorolas Droid og Droid X; Samsungs Epic 4G; Nexus One og Nexus S fra Google) og fundet mere potentielt forstyrrende information. Mens Nexus-telefoner og OG Droid (telefoner, der kører lager Android) havde et mindre sikkerhedsproblem, nemlig en kodefejl i pico-appen, der ville give en anden app mulighed for at slette pico-installationsappen, var resten af gruppen ikke så klar godt. Alle telefoner med tilpassede versioner af Android havde alvorlige sikkerhedsproblemer
Ved at udnytte disse lækkede kapaciteter kan en ikke-betroet app på disse berørte telefoner navnlig klare at udslette brugerdata på telefonerne, sende SMS-beskeder (f.eks. Til premiumnumre), registrere brugersamtale eller få brugergeografiske placeringer - alt uden at bede om nogen tilladelse.
Tilsyneladende fordi de systemapplikationer, der er bygget af leverandører som HTC, Moto og Samsung, alle er underskrevet med den samme digitale signaturnøgle, er de i stand til at kommunikere og få adgang til hinandens data. Selvom dette er en alvorlig sikkerhedsfejl, er det også muligt, at det blev udført ved design, så applikationer som Friendstream eller Social Hub let kan analysere data fra det sociale netværk og samle dem, og disse forskere har lige fundet en ny metode til at udnytte dette system.
Mens implikationerne for Android er nye, er ideen om at udnytte angreb på populære computerplatforme ikke. Efterhånden som Android vokser i popularitet, vil flere mennesker være fokuserede på at finde (og rapportere) udnyttelser mod OS. Forskere har pligtoplysende rapporteret problemet til Google og alle OEM'erne, selvom de udtrykker vanskeligheder med at håndtere HTC og Samsung, som (som dette skrives) forskerne siger har været "meget langsomme med at svare, hvis ikke ignorere vores rapporter / forhør".
Bør du være bekymret? Ikke mere end du var i går. Malware findes, fordi en hel helvede af mange mennesker bruger Android, og brugerne er ikke begrænset til kun at installere godkendte applikationer. Hvis disse typer rapporter generer dig - og det er et ret gyldigt svar - har du stadig muligheden for kun at installere betroede applikationer af kendte udviklere eller andre muligheder for ikke at køre den berørte firmware på din telefon. Og selvom ingen vil høre mig sige det igen (men jeg er ved at gøre det alligevel), er Nexus-enheder, der kører Android, som det blev skrevet, igen immun overfor disse alvorlige problemer, så det er altid det bedre valg, hvis du værdsætter din sikkerhed.
Kilde: NC State University CSC (.pdf)
