Computerworld News Service: For anden gang slettede Google i weekenden et antal applikationer på brugernes Android-telefoner.
Google valgte at slette nogle malware-inficerede applikationer fra brugernes telefoner, som var blevet downloadet fra virksomhedens officielle applikationsbutik, Android Market.
Onsdag i sidste uge fjernede Google over 50 inficerede apps, der var offentliggjort af tre forskellige udviklere, fra Android Market, men igangsatte ikke automatiske afinstallationer fra brugernes telefoner før flere dage senere.
I mange tilfælde var de skadelige apps falske udgaver af legitime programmer, der var blevet genkompileret til at indeholde malware, eller som en analytiker fra Symantec formulerede det i sidste uge, så var de blevet "trojaniserede."
Firmaet Lookout, der udvikler sikkerhedssoftware til smartphones, oplyser, at mellem 50.000 og 200.000 kopier af disse skadelige apps blev downloadet af brugerne, før Google fjernede dem fra Android Market.
Google har en gang før brugt sin såkaldte "kill switch" - den store afbryderknap: I juni 2010 afinstallerede Google et par apps via fjernadgang, som ifølge Google var offentliggjort af en sikkerhedsanalytiker, som "med overlæg gav et misvisende billede af applikationernes formål for at tilskynde flere downloads."
I dette tilfælde var applikationerne dog ikke designet til at være skadelige og havde da heller ikke tilladelse til at tilgå private data.
Hemmelige downloads
Lookout, som siden sidste uge har analyseret de inficerede apps, forklarer, at de nyligt fjernede og afinstallerede apps ikke alene krævede udvidede tilladelser men videregav desuden en bred vifte af information fra de inficerede telefoner.
Af sådanne data kan nævnes telefonens IMSI- (international mobile subscriber identity) og IMEI- (international mobile equipment identity) numre, som kan bruges til at identificere den unikke abonnent og telefon.
Når en af de inficerede apps var blevet downloadet og installeret, ville telefonen i al hemmelighed foretage yderligere downloads, der indeholdte "en eller to root-exploits", der kunne give angribere fuld kontrol over enheden, forklarer Kevin Mahaffey, der er teknologichef hos Lookout.
"Jeg ved ikke, om hackerne mente det som en spøg, at de kaldte malwaren for DroidDream, men de hemmelige downloads skete kun mellem klokken 23 og klokken otte, mens de fleste brugere sover," påpeger Mahaffey.
Han antager, at denne timing var for at sørge for, at de færreste brugere ville opdage den uforklarlige netværksaktivitet, når malwarens anden fase blev downloadet.
Udover at anvende sin funktion til fjernelse af applikationer via fjernadgang skubber Google også sin egen app ved navn Android Market Security Tool March 2011 ud på de ramte Android-telefoner, oplyser Rich Cannings, der er leder af Androids sikkerhedsteam, i et blogindlæg.
Denne sikkerheds-app fra Google vil automatisk blive installeret på alle Android-telefoner, hvis ejere havde downloadet en eller flere af de skadelige apps. Den vil forhindre angribere i at tilgå yderligere information ved at ophæve den rod-adgang, som malwaren opnåede.
Android Market Security Tool March 2011 lukker ikke de underliggende sikkerhedshuller, der blev udnyttet af de malware-inficerede apps, men det fjerner tilsyneladende alle spor af skadelig kode, der eventuelt ikke blev slettet, da de skadelige applikationer blev afinstalleret, forklarer Mahaffey. Lookout undersøger fortsat sikkerhedsværktøjet fra Google for at blive klogere på, hvad det præcist gør.
Google oplyser, at Android 2.2.2 og tidligere versioner indeholder den relaterede fejl, mens senere versioner heriblandt Android 2.3 Gingerbread ikke indeholder denne fejl.
Til forskel fra Apple distribuerer Google ikke selv opdateringerne af sit mobilstyresystem, om de så er sikkerhedsrelaterede eller ej, men er afhængig af, at teleselskaberne gør det.
Google lancerede Android 2.3 i december 2010, men midt i februar kørte langt størstedelen af Android-telefonerne - næsten 90 procent ifølge Google - stadig ældre og mere sårbare versioner af styresystemet, fordi teleselskaberne ofte bruger måneder på at udrulle opdateringerne af Android.
Tving os ikke tilbage til dårlige tider
Google er også blevet kritiseret af analytikere for at have for slappe regler angående offentliggørelse af apps, hvilket gør det muligt for inficeret software at finde vej ind på Android Market.
"Google kommer til at ændre sin model," vurderer John Pescatore, der er sikkerhedsanalytiker hos Gartner Research, i en henvisning til Googles aktuelle praksis med ikke at gennemgå applikationerne før de bliver offentliggjort i Android Market.
Til sammenligning gennemgår Apple grundigt alle apps, før de bliver lukket ind i Apples App Store, som også er det eneste godkendte sted til afsætning af apps til iPhone.
"Googles søgemaskine fortæller brugerne, når den mistænker et website for at distribuere malware," bemærker Pescatore. "Det er, hvad markedet ønsker både for søgemaskiner og indenfor mobiltelefoner. Folk ønsker ikke at være tvunget til selv at overveje, om en app er risikabel at downloade. De vil bare kunne sige til sig selv: 'Det er fed app, den downloader jeg'."
Pescatore kritiserer også Google for først at skubbe et sikkerhedsværktøj ud, efter der har været en hændelse.
"Det giver det værste af begge verdener, når Google fortsætter med at lukke hvad som helst ind på Market, men efterfølgende påtvinger brugerne en anti-malware-app," mener Pescatore.
"Tving os ikke tilbage til de gamle, dårlige tider på pc'en," siger han.
"Det er så meget bedre at holde de skadelige ting ude fra starten af," påpeger Pescatore. "Kom nu ind i kampen, Google."
Mahaffey roser dog Googles beslutning om automatisk at installere sikkerhedsværktøjet. "Hatten af for det," siger han.
Oversat af Thomas Bøndergaard
