Stagefright-aukko antaa kaapata Android-puhelimen omistajan nukkuessa - Tietoturva - Ilta-Sanomat

Tietoturvayhtiö: Android-puhelin kaapattavissa omistajan nukkuessa

Zimperium-tietoturvayhtiö sanoo löytäneensä haavoittuvuuden, joka antaa kaapata Android-puhelimen multimediaviestillä.

28.7.2015 10:17 | Päivitetty 28.7.2015 10:21

Amerikkalais-israelilaisen Zimperium-tietoturvayhtiön tutkijat kertovat löytäneensä  haavoittuvuuden, joka koskee 95 prosenttia Android-laitteista.

Asiasta kertoo myös Venturebeat.

Yhtiön mukaan haavoittuvuutta hyödynnetään mms-viestllä, joka antaa pääsyn laitteeseen.

Jos hyökkäys tehdään laitteen omistajan nukkuessa, sillä voi istuttaa puhelimeen huomaamatta troijalaisen, joka pyyhkii hyökkäyksen jäljet. Troijalainen jää kuitenkin laitteeseen, mikä mahdollistaa muun muassa salakuuntelun ja puhelimen tietojen varastamisen.

Yhtiö kutsuu haavoittuvuutta "kaikkien Android-aukkojen äidiksi".

Venturebeatille asiaa kommentoineen Zimperiumin teknologiajohtaja Zuk Avrahamin mukaan aukko on poikkeuksellisen vakava, sillä se mahdollistaa puhelimen murtamisen ilman että käyttäjää tarvitsee huijata tekemään mitään.

Vika löytyy Androidin käyttöjärjestelmäversioista 2.2–5.1. Haavoittuvuuden takana on Stagefright-kirjasto, jota käytetään mediatiedostojen purkamiseen.

Haavoittuvuutta paikataan, mutta laitevalmistajat ja teleoperaattorit ovat usein melko verkkaisia korjausten toimittamisessa laitteilleen. Tämän vuoksi korjaus on toimitettu verrattain harvoihin puhelimiin. Tällä hetkellä varmasti ovat suojassa Blackphone-puhelimeen PrivatOS 1.1.7 -käyttöjärjestelmäversion päivittäneet käyttäjät.

Yhtiö sanoo kertovansa haavoittuvuudesta lisätietoja elokuussa Black Hat 2015- ja Def Con -tietoturvatapahtumissa.

Osion tuoreimmat

Luitko jo nämä?