Android-puhelimesi ei välttämättä olekaan turvallinen – näin tarkistat asian - Tietoturva - Ilta-Sanomat

Android-puhelimesi ei välttämättä olekaan turvallinen – näin tarkistat asian

Tietoturvatutkijat paljastivat, että Android-valmistajat saattavat jopa valehdella suoraan puhelimien turvapäivityksistä.

Android-puhelimen asetuksista löytyvä turvataso ei ole välttämättä tae tietoturvapäivitysten ajantasaisuudesta. Tässä tapauksessa tosin päivitystasokin laahaa muutaman kuukauden jäljessä.­

13.4.2018 13:11

Google julkaisee Android-käyttöjärjestelmään kuukausittain päivityspakkauksia, joita valmistajat voivat muokata laitteilleen sopiviksi. Valmistajissa on kuitenkin suuria eroja sen suhteen, miten ahkerasti nämä päivittävät puhelimiaan.

Päivitystilanteen voi tarkistaa Android-puhelimen asetuksista. Sieltä löytyvä Android-turvaustaso-niminen kohta kertoo, minkä kuukauden turvatasolla päivitykset ovat. Optimaalinen tilanne olisi, että kuukausi on se, jota parhaillaan eletään.

Wiredin mukaan Security Research Labin selvitys kuitenkin paljastaa, että edes tämä ei ole takuu puhelimen päivitysten ajan tasalla olemisesta. Tietoturvayhtiö testasi 1200 Android-puhelinta ja havaitsi, että moni valmistaja väittää laitteensa turvatason olevan ajan tasalla, vaikkei näin ole.

Tietoturvatutkijat Karsten Nohl ja Jakob Lell kutsuvat ilmiötä ”korjausaukoksi”. Siinä valmistajat jättävät osan Googlen kuukausittaisiin päivityskokonaisuuksiin kuuluvista päivityksistä pois.

 Joskus valmistajat vain vaihtavat päivitystason päivämäärää tekemättä mitään muutoksia.

– Joskus valmistajat vain vaihtavat päivitystason päivämäärää tekemättä mitään muutoksia. Ilmeisesti markkinointisyistä he säätävät päivämäärää sen mukaan, mikä näyttää parhaalta, Nohl sanoi Hack in the Box -tietoturvakonferenssissa Wiredin mukaan.

Monessa tapauksessa päivitysten jääminen pois saattaa johtua myös inhimillisistä virheistä.

Valmistajien keskuudessa oli suurta vaihtelua päivitystason ilmoittamisen rehellisyydessä. Parhaiten pärjäsivät Google Pixel-puhelimillaan, Sony, Samsung sekä Suomessa tuntematon Wiko.

Keskimäärin 1–3 päivitystä puuttui Xiaomin, OnePlusin ja Nokian (HMD:n) puhelimista.

3–4 päivitystä puuttui HTC:n, Huawein, LG:n ja Motorolan laitteista.

Vielä tätäkin heikommin pärjäsivät TCL ja ZTE.

Selvityksessä ilmeni myös, että edullisissa puhelimissa oli merkittävästi enemmän paikkaamattomia haavoittuvuuksia kuin huippumalleissa.

Google sanoi arvostavansa selvitystä ja huomautti, että Androidin sisäänrakennetut turvaominaisuudet suojaavat monissa tapauksissa paikkaamattomiltakin aukoilta. Lisäksi moni tutkituista laitteista ei ollut Googlen sertifioima.

Android-laitteiden hakkerointi on käytännössä hankalaa ja se vaatii erityisosaamista useiden haavoittuvuuksien yhdistelemisestä. Käytännössä tavallisia käyttäjiä vastaan hyökätään useimmiten troijalaisilla eli haittaohjelmatoimintoja sisältävillä sovelluksilla.

Tavallisen käyttäjän on ollut mahdotonta tietää, mitkä puhelimet sisältävät luvatut päivitykset. Nyt se on mahdollista, sillä tutkijat julkaisivat Google Playsta ladattavissa olevan SnoopSnitch-sovelluksen. Se kertoo, mitkä päivitykset puhelimesta todellisuudessa puuttuvat.

Sovellus ei korjaa tietoturva-aukkoja. Se voi kuitenkin poistaa puhelimen omistajan katteettoman turvallisuuden tunteen.

Osion tuoreimmat

Luitko jo nämä?