Der er ikke noget nyt i, at der opdages og advares om sårbarheder i Android-platformen. Sidste år skilte især én type sårbarhed sig dog ud.
Adskillige sikkerhedsfirmaer og -eksperter advarede om kritiske huller i multimedie-motoren Stagefright i Android, der blandt andet kunne udnyttes via MMS'er.
Faktisk var opmærksomheden om Stagefright så massiv, og advarslerne så alvorlige, at en række Android-producenter valgte at ændre sikkerhedspraksis.
Det betyder, at de nu i langt højere grad end tidligere udsender sikkerhedsopdateringer til brugerne helt automatisk.
Læs også: Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis
Men mens Stagefright altså fyldte ganske meget i Android-sikkerhedsdebatten i 2015, så er der faktisk ikke registreret nogen konkrete, succesfulde angreb mod Android-brugere med udgangspunkt i Stagefright.
Som i nogen angreb overhovedet.
Det fremgår af Googles netop offentliggjorte årsrapport om sikkerheden på Android (PDF).
"Der blev identificeret adskillige nye 'remote code execution'-sårbarheder i 2015, de mest prominente var Stagefright-sårbarheder," oplyser selskabet.
Google skriver i rapporten, at man i 2015 fra sikkerhedsfirmaet Zimperium modtog konkrete, produkt-specifikke demonstrationer af, hvordan Stagefright kunne udnyttes af it-kriminelle.
"Siden da har vi set en række succesfulde 'exploit proof-of-concepts' demonstreret af sikkerhedsforskere, inklusiv Googles eget Project Zero. Vi har også modtaget adskillige rapporter om, at exploits til Stagefright er inkluderet i exploit toolkits."
"Mens dette bliver skrevet, har vi ikke observeret eller er blevet opmærksom på nogen succesfulde forsøg på at udnytte Stagefright-sårbarheder på reelle bruger-enheder," lyder den noget overraskende status fra Googles side.
Langt fra test-labs til virkeligheden
En melding som denne kan naturligvis bunde i, at Google ganske enkelt ikke har kendskab til konkrete, succesfulde angreb med udgangspunkt i Stagefright.
Med de mange hundrede millioner Android-enheder, der er i brug rundt omkring i verden, forekommer det dog noget usandsynligt, at ikke ét eneste angreb skulle være blevet spottet af Googles folk.
Derfor tyder noget på, at denne nye type sårbarheder i Android måske nok teoretisk kan udnyttes af de it-kriminelle - men ikke bliver det (eller i hvert fald i et meget begrænset omfang) uden for sikkerhedseksperternes test-labs.
"Vi fortsætter med at overvåge mange kanaler for tegn på udbredte eller målrettede angreb mod bruger-enheder," lyder det fra Google i Android-sikkerhedsrapporten.
Læs også:
Kritisk hul fundet i Android: En enkelt MMS kan hacke din telefon
Kritisk Android-sårbarhed blev et wake up call: Flere top-producenter ændrer sikkerhedspraksis
Går Google over stregen med bundling af Android og egne apps?
Android-opdateringer leveres i sneglefart: Så langsomt går det med de nye versioner