Tietoturva

Android-puhelimesi ei välttämättä olekaan turvallinen – näin tarkistat asian

Julkaistu:

Android
Tietoturvatutkijat paljastivat, että Android-valmistajat saattavat jopa valehdella suoraan puhelimien turvapäivityksistä.
Google julkaisee Android-käyttöjärjestelmään kuukausittain päivityspakkauksia, joita valmistajat voivat muokata laitteilleen sopiviksi. Valmistajissa on kuitenkin suuria eroja sen suhteen, miten ahkerasti nämä päivittävät puhelimiaan.

Päivitystilanteen voi tarkistaa Android-puhelimen asetuksista. Sieltä löytyvä Android-turvaustaso-niminen kohta kertoo, minkä kuukauden turvatasolla päivitykset ovat. Optimaalinen tilanne olisi, että kuukausi on se, jota parhaillaan eletään.

Wiredin mukaan Security Research Labin selvitys kuitenkin paljastaa, että edes tämä ei ole takuu puhelimen päivitysten ajan tasalla olemisesta. Tietoturvayhtiö testasi 1200 Android-puhelinta ja havaitsi, että moni valmistaja väittää laitteensa turvatason olevan ajan tasalla, vaikkei näin ole.

Tietoturvatutkijat Karsten Nohl ja Jakob Lell kutsuvat ilmiötä ”korjausaukoksi”. Siinä valmistajat jättävät osan Googlen kuukausittaisiin päivityskokonaisuuksiin kuuluvista päivityksistä pois.
Mainos (Teksti jatkuu alla)
Mainos päättyy

 

Joskus valmistajat vain vaihtavat päivitystason päivämäärää tekemättä mitään muutoksia.

– Joskus valmistajat vain vaihtavat päivitystason päivämäärää tekemättä mitään muutoksia. Ilmeisesti markkinointisyistä he säätävät päivämäärää sen mukaan, mikä näyttää parhaalta, Nohl sanoi Hack in the Box -tietoturvakonferenssissa Wiredin mukaan.

Monessa tapauksessa päivitysten jääminen pois saattaa johtua myös inhimillisistä virheistä.

Valmistajien keskuudessa oli suurta vaihtelua päivitystason ilmoittamisen rehellisyydessä. Parhaiten pärjäsivät Google Pixel-puhelimillaan, Sony, Samsung sekä Suomessa tuntematon Wiko.

Keskimäärin 1–3 päivitystä puuttui Xiaomin, OnePlusin ja Nokian (HMD:n) puhelimista.

3–4 päivitystä puuttui HTC:n, Huawein, LG:n ja Motorolan laitteista.

Vielä tätäkin heikommin pärjäsivät TCL ja ZTE.

Selvityksessä ilmeni myös, että edullisissa puhelimissa oli merkittävästi enemmän paikkaamattomia haavoittuvuuksia kuin huippumalleissa.

Google sanoi arvostavansa selvitystä ja huomautti, että Androidin sisäänrakennetut turvaominaisuudet suojaavat monissa tapauksissa paikkaamattomiltakin aukoilta. Lisäksi moni tutkituista laitteista ei ollut Googlen sertifioima.

Android-laitteiden hakkerointi on käytännössä hankalaa ja se vaatii erityisosaamista useiden haavoittuvuuksien yhdistelemisestä. Käytännössä tavallisia käyttäjiä vastaan hyökätään useimmiten troijalaisilla eli haittaohjelmatoimintoja sisältävillä sovelluksilla.

Tavallisen käyttäjän on ollut mahdotonta tietää, mitkä puhelimet sisältävät luvatut päivitykset. Nyt se on mahdollista, sillä tutkijat julkaisivat Google Playsta ladattavissa olevan SnoopSnitch-sovelluksen. Se kertoo, mitkä päivitykset puhelimesta todellisuudessa puuttuvat.

Sovellus ei korjaa tietoturva-aukkoja. Se voi kuitenkin poistaa puhelimen omistajan katteettoman turvallisuuden tunteen.

Kommentit

    Näytä lisää
    Kommentointi on päättynyt