Googlen Androidissa korjaamaton haavoittuvuus - Tietoturva - Ilta-Sanomat

Androidissa toinenkin superbugi: Tämä on erityisen nolo Googlelle

Bugien nopeaksi liiskaajaksi profiloituva Google on varoituksista huolimatta jättänyt Androidiin haavoittuvuuden, jolla puhelimen saa lamautettua.

30.7.2015 15:26 | Päivitetty 30.7.2015 15:26

Tietoturvayhtiö Trend Micron tutkijat julkistivat eilen Android-käyttöjärjestelmässä olevan haavoittuvuuden, joka mahdollistaa puhelimen "jäädyttämisen" eli vaientamisen siten, että puhelut ja sovellukset eivät toimi.

Kyse on eri haavoittuvuudesta kuin niin ikään tällä viikolla raportoitu laaja Stagefright-aukko.

Nyt löydetty tietoturva-aukko koskee Androideja 4.3:sta (Jelly Bean) aina 5.1:een (Lollipop) asti. Nämä muodostavat yli puolet Android-puhelinkannasta, eli kyse on sadoista miljoonista laitteista.

Haavoittuvuus on Androidin mediapalvelintoiminnoissa, ja se koskee Matroska (mkv) -tiedostojen käsittelyä. Tiedostotyyppi on yleinen hd-videoiden katselussa.

Nyt löydettyä haavoittuvuutta voi hyödyntää joko verkkosivun tai sovelluksen kautta. Ensimmäisestä puhelin tokenee uudelleenkäynnistyksellä, mutta jälkimmäinen on kohtalokkaampi. Jos puhelimen käynnistysrutiiniin saadaan ujutettua tietynlaisen mkv-tiedoston sisältävä sovellus, käyttöjärjestelmä saadaan kaadettua joka kerta, kun sitä yritetään käynnistää.

Haavoittuvuudesta tekee Googlelle erityisen nolon se, että Trend Micro raportoi sen jo toukokuussa.

Google ja Microsoft riitelivät alkuvuodesta kohtuullisesta "rauhoitusajasta" bugien julkistamisen suhteen. Googlen tutkijat paljastivat tällöin aiemmin raportoimiaan, mutta korjaamatta jätettyjä aukkoja Windowsissa. Googlella on myös oma Project Zero -tiiminsä, joka etsii haavoittuvuuksia myös kilpailijoiden tuotteista.

Alla olevalla Youtube-videolla näytetään, miten Android-puhelin lamautetaan vihamielisellä sovelluksella.

 

Osion tuoreimmat

Luitko jo nämä?