Denne katta kan ta over telefonen din

Stor Android-feil rettes - sjekk om din telefon er sårbar.

Finn Jarle Kvalheim

Publisert 8. februar 2019

Pass godt på hvilke bilder du åpner på mobilen din i tiden fremover. I Googles siste Android-oppdatering avsløres det en feil som i verste fall kan gi fremmede full kontroll over telefonen. Det skyldes hvordan mobilen håndterer bestemte typer bilder.

Det er telefoner med Android 7 Nougat og opp til nye Android 9 Pie som er påvirket. Hvis telefonen din viser at den fikk siste sikkerhetsoppdatering i februar skal feilen være fikset.

Se hvordan du sjekker om telefonen din er trygg nederst i saken »

Det er ZDNet som melder om feilen. Google omtaler feilen selv som den mest kritiske i den nye sikkerhetsoppdateringen. Feilen handler om måten Android håndterer bildefiler i PNG-formatet, eller Portable Network Graphic. Ved siden av JPG og GIF er det ett av de tre vanligste bildeformatene på nett.

Det holder at du titter på et spesielt utformet bilde i nettleseren, e-posten eller i lynmeldingsklienter som Messenger.

Det kan gi fremmede full tilgang til å kjøre kode på telefonen din, for eksempel for å installere uønsket programvare. Det som gjør det ekstra alvorlig er at programvaren kan kjøre som en såkalt privilegert prosess å telefonen. Det er det samme sikkerhetsnivået som telefonens egen systemprogramvare kjører med.

I praksis kan programvaren gjøre hva den vil på en telefon som rammes.

Google opplyser i oppdateringsnotatene at ingen av feilene er sett i bruk ennå. De har også opplyst mobilprodusenter om fiksen en måned før den ble sluppet, slik at de skal ha anledning til å forberede seg.

Det betyr imidlertid ikke at disse bildene ikke kan dukke opp på nettet i tiden fremover. Thehackernews.com peker på at Google selv gir noen hint om hva feilen kan dreie seg om. I selve oppdateringen skal «heap buffer overflow flaw», «errors in SkPngCodec» og flere andre PNG-relaterte funksjoner være nevnt.

Såkalte 0-dagsfeil er sikkerhetshull som ikke er fikset eller allment kjent. Slike feil kan kjøpes og selges blant hackere, og at det i dag ikke er oppdaget programvare som prøver å utnytte hullet er ingen garanti for at ikke feilen er kjent blant ondsinnede og kan være på vei til å bli utnyttet. Feil som ikke er kjent i utgangspunktet kan i noen tilfeller også gjenskapes av hackere som ønsker å utnytte dem i utstyr som ikke er oppdatert.

Nyere Android-telefoner får som regel sikkerhetsoppdateringene fra Google, men ikke alle får dem måned for måned, slik de slippes. Det er også en del som ikke får dem i det hele tatt.

Android 7 er to år gammelt nå og flere av telefonene i denne generasjonen er uansett så gamle at oppdateringer begynner å ta slutt.

Telefonene som er så å si sikre på å motta oppdateringen er Googles egne støttede telefoner i Pixel-serien. I tillegg mottar de aller fleste Android One-telefonene svært kjappe oppdateringer rett fra Google, og det samme gjelder noen av de billigste smarttelefonene med Android Go-stempel.

Det er forholdsvis enkelt å sjekke om du har mottatt oppdateringen. Trykk på tannhjulet som tar deg til innstillingsmenyen din, og bla deg til seksjonen som gir informasjon om telefonen. Denne prosedyren vil se bittelitt forskjellig ut fra telefon til telefon - du finner tannhjulet enten i menyen du trekker ned fra toppen av skjermen, på en av hjemmeskjermene eller i appoversikten på telefonen.

Se etter februar som datering for sikkerhetsoppdateringen. Under ser du en oppdatert Google-telefon til venstre. Resten er en Nokia med Android One, en Samsung-telefon og en Huawei-telefon.

PS! Selv ikke Nokia-telefonen har fått oppdateringen i skrivende stund, og den henter altså sin programvare rett fra Google.

Les også

Sikkerhetshull funnet i populær videoavspiller

EU krever umiddelbar salgsstopp av barneklokke

Samfunnssikkerhetsministeren: – Husk å oppdatere mobilen og iPaden

Dette er nyhetene i neste Android