Loading
mankans.com

på mitt sätt…

Sommaren snart över, nej men hej Quadrooter – Över 900 miljoner Android-mobiler i farozonen

Android-securityJa, sommaren är nästan över. Det har duggat lätt om säkerhetshål i både Android och iOS. Men nu när semestrarna snart är över för den här gången så saftar ett säkerhetsteam på Check Point till med ett ytterst allvarligt säkerhetshål, döpt till “Quadrooter” i Qualcomm’s chipset “Snapdragon”. Det vanligaste chipset’et i våra Android-baserade mobiler, och surfplattor.
“Quadrooter” är en uppsättningen av fyra sårbarheter som upptäcktes i enheter som kör Android Marshmallow och tidigare Android versioner, samt körs på Qualcomm’s chipset, vilket kan ge en angripare root-behörighet på enhet. Och kan således göra vad denna så önskar, utan att användaren behöver märka utav det.

Över 900 miljoner enheter är drabbade, och det dröjer ett par månader till innan Qualcomm har  fått med en uppdatering till Android, och sedan skall den bakas in i alla olika “smaker” utav Android som finns. Och just det, det är ju inte alla enheter som kommer få denna uppdatering, då mobiltillverkarna oftast struntar i att uppdatera dem.

Check Point har tagit fram en app som finns att installera från Google Play, som kontrollerar om ens enhet är sårbar.

QuadRooter Scanner
QuadRooter Scanner
Developer: Check Point Labs
Price: Free

Redan namngivna enheter som är sårbara är följande:

  • Samsung Galaxy S7 and Samsung S7 Edge
  • Sony Xperia Z Ultra
  • OnePlus One, OnePlus 2 and OnePlus 3
  • Google Nexus 5X, Nexus 6 and Nexus 6P
  • Blackphone 1 and Blackphone 2
  • HTC One, HTC M9 and HTC 10
  • LG G4, LG G5, and LG V10
  • New Moto X by Motorola
  • BlackBerry Priv

För att skydda dig och din enhet så gott som möjligt, tänk på att enbart installera appar/spel osv från kända tillverkar och håll dig bara till Google Play för att ladda ner och installera dessa.

Pokémon GO

pokemongoIngen har säkert undgått de senaste dagarnas skriverier om Pokémon GO. Nintendo’s aktie sköts upp i himlen, upp med 25%. Servrarna klarade inte trycket så att lanseringar fick skjutas upp (ryktas dock komma till Europa inom ett par dagar). Det går att ladda ner programfilen från olika ställen på nätet, många av dem manipulerade och innehåller trojaner. Spelare som dykt på både det ena och det andra makabra där ute. Spelare som utsätter sig själv, och andra för fara medan de spelar.

Men även om man nu installerar från en pålitligt källa, så godkänner man att Pokémon GO (och utvecklaren bakom spelet, Niantic) får full access till ditt google-konto (gäller både iOS och Android), dvs läsa all din mail, komma åt alla din “Google-data”, och även kunna ändra. Skicka till kontakter, etc.
Mer om det på TheHackerNews.

För dig som vill testa Pokémon GO så finns det en hyfsad säker källa här (kom ihåg, eget ansvar): APKMirror.

YouTube till Sonos?

sonoscastFörsta dagen på semestern, och ljudet är räddat. Nu kan vi äntligen kolla på musikvideos på YouTube och få ljudet ur våra Sonos högtalare. Allt som jag behövde göra var att köpa en Google ChromeCast Audio och koppla in den i en av Sonos Play 5 högtalarna. Väl spenderade 360:-

Självfallet är det inte bara YouTube som ska cast’as, det går ju lika bra att cast’a ljudet från Netflix, HBO, med mera (från datorer och mobila enheter).
Och i morgon, då kan jag avnjuta Storbritanniens GP (F1) genom Sonos högtalarna. 🙂

Öppet brev till Google och andra tillverkare av Android-enheter

English translation by Google

Sedan jag köpte min första Android-mobil 2010 har jag varit “fast” i Android-världen.
Jag har köpt flera Android-mobiler, de flesta i så kallat “flaggskepps-modell” till mig själv och till mina familjemedlemmar. Och likaså har jag investerat i flertalet surfplattor till mig själv och familjen.
Jag har köpt appar, och tillbehör till Android-enheterna. Allt som allt har det säkert kostat mig runt 100 000 kr vid det här laget. Inga pengar jag grämer mig över, utan jag tycker att det har varit kul, att kunna annpassa enheterna så mycket.

Något som jag i och för sig alltid har tyckt varit dåligt med Android, det är att Ni tillverkare tar sådan tid på er att släppa uppdateringar, samt att ni struntar i att uppdatera enheter i den billigare klassen, eller enheter som är 1+ år.
Ibland har jag root’at och lagt in en så kallad “custom rom”. Och det blir för de mesta de äldre enheterna som får en “custom rom”, men nyare android-version än vad tillverkaren har tagit fram.

Men nu börjar jag känna att det går mot ett slut för Android, i alla fall här i vårt hem.
Vi behöver kunna lita på att våra enheter är säkra, inte fulla av säkerhetshål eller andra läckor av information. Vi hanterar inte enbart mail och sociala-medier på våra enheter, utan vi utför bankärenden och andra finansiella tjänster. Vi har vårt liv på våra enheter, information som är privat, och information som är känslig. Information som vi vill bestämma vem ska få ta del av, etc.

NI, Google och andra tillverkare av Android-enheter! Ni måste nu ta er i kragen och sätta igång ett digert säkerhetsarbete. Se till att alla enheter ni säljer kontinuerligt får uppdateringar som täpper igen säkerhetshål och buggar. Säkra upp enheterna, och låt så gamla enheter som 3-5 år (efter sista säljdagen) få säkerhetsuppdateringar.

En 3 år gammal enhet kanske inte klarar av att köra Android 5 eller senare. Men forsätt då med att släppa säkerhetsuppdateringar för den version av Android som enheten klarar av.

Bring patch-tuesdag to Android!
Nu har Ni hösten på er att ta fram en strategi och rulla ut den!
Misslyckas ni med det så kommer denna familjs nästa enhetsinköp bli ett system där det rullar iOS eller Windows Phone.
Och Windows Phone lockar ganska mycket just nu.

// M

 

Slutet för Android? Flera allvarliga sårbarheter på kort tid

Bara under de senaste 14 dagarna har det kommit fram uppgifter om minst sex nya allvarliga sårbarheter i Android. Minst en så kritisk att Google nu gått ut med att de kommer månatligen att släppa uppdateringar för Android.
Äntligen så har Google börjat inse att de måste säkra upp Android. Men sen har vi ju problemet att alla mobiltillverkare har sin egen “smak” av Android. Så Google’s uppdateringar kan inte bara skjutas ut till alla Android-mobiler. Dock var Samsung ganska snabb med att hoppa på tåget, och lika så har nu LG gjort. Även de kommer börja med att månatligen släppa uppdateringar. Förhoppningsvis har de andra mobiltillverkarna på detta tåg relativt snart.

Men man ska inte ropa hej på än gång. Än så länge har ingen av mobiltillverkarna, eller Google meddelat NÄR de tänker börja med att månatligen släppa uppdateringarna. Och till vilka telefoner kommer tillverkarna att släppa uppdateringar för?
Jag kan inte tänka mig att de kommer att ta fram uppdateringar för sina lågpris mobiler. Och hur gamla mobiler kommer de att bry sig om? Kommen en två, tre, eller fyra år gammal Android-mobil få månatligen uppdateringar?

Sedan kommer vi till ett av de största hindren, mobiloperatörerna. För det är genom mobiloperatörerna som mobiltillverkarna släpper sina uppdateringar till mobilerna. Och här lär det inte gå snabbt.
Eller kommer de att göra som Microsoft gör, “runda” mobiloperatörerna och skjuta ut uppdateringarna direkt till alla mobiler? Det är nog det enda rätta att göra. Visst, med operatörsspecifika mobiler så går det nog inte att runda mobiloperatörerna då de är inblandade i mjukvaran i mobilerna.

Men om allt detta nu skulle gå igenom så kommer nog kostnaden gå upp för Android-telefoner en hel del. För hela kalaset med att månatligen släppa uppdateringar kommer att kosta en hel del.

Jag börjar se slutet för Android…..

Läs gärna lite mer om de olika sårbarheterna på The Hacker News.

“Certifi-Gate” Android Vulnerability Lets Hackers Take Complete Control of Your Device

Hackers Can Remotely Steal Fingerprints From Android Phones

Android Vulnerability Traps Devices in ‘Endless Reboot Loop’

How to Hack Millions of Android Phones Using Stagefright Bug, Without Sending MMS

New Android Vulnerability Could Crash your Phones Badly

Simple Text Message to Hack Any Android Phone Remotely

Lizard Squad sänker Telia m.fl.

V ödlaDet ser ut som att Lizard Squad inte ger sig, utan fortsätter attackera och sänker bland annat Telia’s DNS-servrar.

Detta gör det svårt för kunder som har någon tjänst via Telia, och använder just Telias DNS.

Men, det går att kringgå denna attack genom att använda en DNS-server från tex Google eller OpenDNS.

GoogleDNS
DNS1: 8.8.8.8
DNS2: 8.8.4.4

OpenDNS
DNS1: 208.67.220.220
DNS2: 208.67.222.222

Har man en router hemma så är det lättast att ändra DNS-inställningarna i den, då täcker den upp alla datorer/mobiler/surfplattor/enheter som är uppkopplad via den (givetvis kan du ändra enbart i datorns nätverksinställningar om du vill det, då fungerar det enbart för den datorn).
Svårare är det med en mobil, men har man en Android mobil så kan man använda appen DNS Changer, för att ändra DNS för WiFi och mobiluppkopplingen (krävs dock root för att ändra för 3G/4G).
Har man iPhone, så har jag inte den blekaste aningen.