Tietoturvayhtiö Check Point Software Technologies varoittaa Android-puhelimista löytyneestä tietoturva-aukosta. Yhtiö kertoi haavoittuvuudesta Black Hat USA 2015 -tapahtumassa Las Vegasissa tänään.
Haavoittuvuus koskee Check Pointin mukaan jopa satoja miljoonia Android-laitteita useilta valmistajilta. Mukana on laitteita suosituimmilta Android-laitevalmistajilta, kuten Samsungilta, LG:ltä ja HTC:lta.
... [ lue koko uutinen ]
Lue uutisartikkeli kokonaisuudessaan ennen kuin kommentoit aihetta.
Jälleen mainio esimerkki todella huonosti toteutetusta tietoturvasta.
Muutamat puhelinvalmistajat ovat siis lisänneet puhelimiinsa mahdollisuuden antaa sovellukselle kaikki mahdolliset oikeudet, kunhan sovellus vain esittelee itsensä tietyllä tavalla.
Tämän oikeuden tarkistamiseen käytettävää sertifikaattia ei voi kuluttaja tietenkään poistaa millään tavalla, eikä kuluttaja voi myöskään estää tuota esittelyä.
Puhelinvalmistajat eivät voi myöskään tehdä kumpaakaan noista asioista ilman käyttöjärjestelmäpäivitystä.
Tulipa samantien tarkistettua tuolla CheckPointin ohjelmalla oman laitteen - Samsung - turvallisuus. Ja on siitä näemmä taas hieman hyötyä kun ei jaksa odottaa laitevalmistajan käyttispäivityksiä. Puhelimessa CyanogenMod 11 Android-versiolla 4.4.4. Kun uudempaa ei ko. laitteelle vielä ole. Mutta vihreätä näyttää.
Eli ei koske meikäläistä tuo turvauhka. Mutta yritysasiakkeillehan tuo toki onkin kohdennettu - varmaankin. Toivottavasti tämä nyt sitten korjataan ensimmäisessä Googlen kuukautispäivityksessä - ellei ennemminkin...
Lainaus: Ongelma on etäohjausohjelmistossa, jonka avulla laite voidaan ottaa hallintaan etäyhteydellä,
Siis sanotaanko tuossa että laitteen etäohjausohjelmassa on jokina ongelma joka mahdollistaa kenenkätahansa ottaa kohdelaitteeseen yhteys ja hallita laitetta, jos paikallisesti, samassa verkossa, tai muuraamattoman netin yli ?
Vai kerrotaanko tuossa vain se mitä ohjelmalla voi tehdä, eikä liity ise haavoittuvuuteen ja menetelmään ?
Suurin osa näistä eri valmistajien puhelimistä sisältää yhden tai toisen etäohjausohjelman, jolla voi juuri tehdä noita yllämainittuja juttuja. Ja juu, ongelma sijaitsee siinä ohjelmassa.
Alkaa vähitellen kyllä ketuttaa, enkä jaksa jäädä odottelemaan sormi perseessä, että koskahan LG viitsi julkaista päivityksiä; vedin oman puhelimen sileäksi ja pistin cyanogenmodin tilalle.
Lainaus: Siis sanotaanko tuossa että laitteen etäohjausohjelmassa on jokina ongelma joka mahdollistaa kenenkätahansa ottaa kohdelaitteeseen yhteys ja hallita laitetta, jos paikallisesti, samassa verkossa, tai muuraamattoman netin yli ?
Tämän tietoturva-aukon hyödyntäminen vaatii haitallisen sovelluksen asentamista laitteeseen, joka hyödyntää tuossa sertifikaatin varmennuksessa olevaa virhettä.
Eli jos puhelimeen ei asenna uusia sovelluksia niin tavalliselle käyttäjälle ei tästä aukosta ole varsinaista ongelmaa. Ja Google on varmaankin jo lisännyt Playn turvatarkistuksiin kohdan noille sertifikaatti-väärennöksille, joten kovin laajaa haittaohjelma-aaltoa tästä tuskin tulee Play-luureihin.
Mutta tämä aukko aiheuttaa vielä kyllä suuria ongelmia niissä maissa joissa ladataan paljon sovelluksia epämääräisistä lähteistä.
Lainaus: Mutta miten ongelma liittyy etäkäyttö ohjelmaan, onko kyse siitä että tuossa mainituss etäkäyttöohjelmassa itsessään on jokin sertifikaatin tarkistus jossa aukkoja ja sitä kautta voi tuon mainitun ohjelman oikeuksilla sitten ajaa koodia ?
Ongelma on siinä, että nuo tietyt puihelinvalmistajat ovat lisänneet omiin Android-versioihinsa lisätoiminnon, jonka avulla sovellus saa itselleen lähes kaikki mahdolliset oikeuden puhelimen toimintoihin, jos sovellus vain esittää sopivan tunnisteen järjestelmälle. Näitä tunnisteita on sitten jaettu noille firmoille, jotka tekevät etähallintatyökaluja puhelimille.
Koska nuo puhelinten toteutukset eivät tarkista tuota tunnistetta oikealla tavalla, on sellainen mahdollista väärentää (olettettavasti väärennöksen luonti ei vaadi juurikaan laskentatehoa), jolloin puhelin luulee haittaohjelmaa tuollaiseksi erikoisoikeuksia saavaksi sovellukseksi.
"The root causes of these vulnerabilities include hash collisions, IPC abuse and certificate forging, which allow an attacker to grant their malware complete control of a victim's device" http://www.ibtimes.co.uk/certifi-gate-m...tablets-1514398
Eli ongelma ei koske Androidia yleisesti, vaan ainoastaan noita tiettyjen valmistajien laitteita.
Ja kuten ensimmäisessä viestissä sanoin, on tuollaisen toiminnallisuuden lisääminen tuossa muodossaan todellinen EPIC fail puhelinvalmistajien puolelta, sillä tuota ominaisuutta on voinut väärinkäyttää tähänkin mennessä kuka tahansa, joka on noita tunnisteita voinut luoda (esim. tiedustelupalvelut tai noissa firmoissa töissä olleet ihmiset).
