Förinstallerade appar öppnar för hackare

Genom att utnyttja säkerhetsbrister i vanliga Android-appar som finns i praktiskt taget alla Android-mobiler menar en grupp forskare att man exempelvis kan radera allt innehåll i mobilen eller använda den för att spela in ljud från omgivningen utan att användaren har någon möjlighet att upptäcka det.

I en rapport redogör man för en genomgång av åtta Android-mobiler som alla visade sig ha minst 11 av de sammanlagt 13 säkerhetsbrister som man letat efter i undersökningen.

Android-användare brukar uppmanas att vara misstänksamma när man installerar en app som begär rättigheter till delar av systemet som appen inte borde ha någon användning för. Bristerna som forskarna studerat innebär att en app skapad av en angripare inte behöver begära några rättigheter till känsliga delar av systemet, eftersom appen istället kan dra nytta av brister i standard-apparna, som i sin tur har rättigheter till känsliga delar av Android-systemet. Exakt vilka standard-appar som kan utnyttjas och till vad avslöjar dock inte forskarna.

Man har även tittat på en någon mindre allvarlig brist som innebär att appar från samma utvecklare, som är signerade med samma digitala certifikat, kan använda varandras rättigheter till systemet. Det förutsätter givetvis att användaren litar på app-skaparen, men om man får användarens förtroende är det lätt att förvilla genom att låta vissa appar utnyttja behörigheter som användaren bara godkänt vid installationen av andra appar från samma utvecklare.

Telefonerna som testats är amerikanska Android-modeller eller amerikanska versioner av telefoner som även finns på den svenska marknaden:

HTC Legend, Evo 4G och Wildfire S

Motorola Droid och Droid X

Samsung Epic 4G

Google Nexus One och Nexus S