Nyt tuli paha Android-aukko: Helppo käyttää, vaikea korjata

Julkaistu:

Tietoturvagurut penkoivat esiin taas uuden massiivisen haavoittuvuuden Googlen Android-käyttöjärjestelmästä. "Certifi-gatea" leimaa helppo käytettävyys ja vaikea korjattavuus.


Check Pointin haavoittuvuudelle antama nimi – Certifi-gate – on kenties vuoden noloin, mutta se ei tee ongelmasta yhtään vähemmän vakavaa.

Yhtiön mukaan ongelma piilee melkein kaikissa Android-laitteissa käytettävissä etätukityökaluissa – tarkalleen ottaen niiden todennuskäytäntöjen toteutuksissa.

Vaaralliset sovellukset voivat teeskennellä etätukityökaluille olevansa kunnollisia. Seurauksena sovellukset voivat saada rajoittamattomat käyttöoikeudet käyttäjän tietoihin ja laitteen toimintoihin.

Check Point julkisti Certifi-gate -haavoittuvuuden Black Hat USA 2015 -tapahtumassa. Vaara koskee useiden isojen valmistajien, kuten LG:n, Samsungin, HTC:n ja ZTE:n, puhelimia – kaiken kaikkiaan satoja miljoonia puhelimia.

– Luvattomasti saatujen etähallintaoikeuksien turvin ulkopuolinen saa rajoittamattoman pääsyn puhelimelle, joten hän voi esimerkiksi varastaa tietoja, seurata laitteen sijaintia, tai käynnistää mikrofonin ja nauhoittaa puhelimella käytäviä keskusteluja, Check Point sanoo tiedotteessa.

Yksinkertainen paikkaus ei riitä

Asiaan heräsi perjantaina myös Viestintäviraston Kyberturvallisuuskeskus, joka vahvistaa Check Pointin väitteet rajoittamattomista käyttöoikeuksista uhrin Android-laitteessa.

Puhelinvalmistajat ovat alkaneet julkistaa ohjelmistopäivityksiä, mutta ongelma ei poistu yksittäisellä paikalla, vaan koko laitteen ohjelmisto on päivitettävä. Kyseessä on siten melko hidas päivitys, Check Point arvioi ja korostaa, että paikkaamiseen liittyy "huomattavia vaikeuksia".

Kaiken lisäksi yhtiö pitää Certifi-gatea helposti hyödynnettävänä haavoittuvuutena, joka saattaa oikeasti johtaa ihmisten henkilökohtaisten tietojen väärinkäyttöön.

Esimerkiksi toisen erittäin laajan ja äskettäin paljastuneen Android-aukon, Stagefrightin, kohdalla Kyberturvallisuuskeskus piti uhkaa rajallisena aukon vaikean hyödynnettävyyden vuoksi.

Kyberturvallisuuskeskus muistuttaa käyttämään vain luotettuja sovelluskauppoja ja asentamaan vain sovelluksia, joiden alkuperästä on varmuus.

Check Point on julkaissut Google Play -kaupassa ilmaisen sovelluksen, joka kertoo Android-laitteen haavoittuvuuden Certifi-gatelle.

Kommentit

    Näytä lisää