Kuusi Android-haavoittuvuutta ja vinkit niiden torjumiseen

Viime aikoina on julkaistu useita Android-käyttöjärjestelmän haavoittuvuuksia, jotka koskevat suurta määrää älypuhelimia, tablettitietokoneita ja sulautettuja järjestelmiä. Mistä haavoittuvuuksissa on kyse ja miten niiltä suojaudutaan? Muun muassa nämä kysymykset käydään artikkelissa lyhyesti läpi.

Loppukesän 6 haavoittuvuutta


1. Stagefright

Tietoturvayhtiö Zimperium julkisti 21.7.2015 ennakkotietoa Stagefright-haavoittuvuuksista ja lopullinen julkistus oli 5.8. Black Hat -konferenssissa. Kyseessä on joukko haavoittuvuuksia mediatiedostojen käsittelyyn käytetyn Stagefright-kirjaston mediaserver-komponentissa. Haavoittuvuudet mahdollistavat haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä jopa ilman käyttäjän toimia, jos haitallista sisältöä sisältävä mediatiedosto toimitetaan laitteeseen esimerkiksi multimediaviestin avulla.

Haavoittuvuus koskee Android-versioita 2.2. - 5.1.1. Osaan laitteista on saatavilla päivitys, mutta päivitykset eivät välttämättä ole täysin kattavia.

Lisätietoa:


2. Silent Attack

Trend Micron tietoturvatutkijat julkaisivat 29.7. tiedon Androidin mediaserver-komponentin haavoittuvuudesta. Haavoittuvuus mahdollistaa laitteen mykistämisen, jolloin esimerkiksi puhelimella ei voi soittaa puheluita, puhelimen hälytysäänet eivät soi ja näyttö voi reagoida hitaasti tai ei ollenkaan.

Tämän .mkv-mediatiedostojen käsittelyyn liittyvän haavoittuvuuden hyödyntäminen vaatii, että käyttäjä asentaa haitallisen sovelluksen tai avaa www-sivun, jossa on haitallinen mediatiedosto.

Haavoittuvuus koskee Android-versioita 4.3 - 5.1.1. Osaan laitteista on saatavilla päivitys.

Lisätietoa:

3. Uudelleenkäynnistyskierre

Trend Micron tietoturvatutkijat julkaisivat 4.8. tiedon Androidin mediaserver-komponentin haavoittuvuudesta, jota hyödyntämällä voi saada aikaan palvelunestotilan siten, että laite käynnistetään uudestaan ja näin akku kulutetaan loppuun. Vakavimmillaan haittakoodi saa laitteen käynnistymään toistuvasti uudelleen, minkä vuoksi sen käyttö on mahdotonta.

Haavoittuvuuden hyödyntäminen vaatii, että käyttäjä lataa haitallisen sovelluksen tai avaa www-sivun, jossa on haitallinen mediatiedosto.

Haavoittuvuus koskee Android-versioita 4.0.1 - 5.1.1. Osaan laitteista on saatavilla päivitys.

Lisätietoa:


4. Certifi-gate

Check Point julkaisi 6.8. tiedon Certifi-gate-haavoittuvuuksista Android-laitteiden etätukityökaluissa (mobile Remote Support Tool, mRST) . Haavoittuvuudet liittyvät todennuskäytäntöihin toteutuksiin.

Tällaisia kolmannen osapuolen sovelluksia on mukana lähes kaikissa Android-laitteissa joko tuotteeseen kuuluvina tai teleoperaattorin tekeminä esiasennuksina. Haavoittuvuuksia hyödyntävä haitallinen sovellus voi saada rajoittamattomat käyttöoikeudet käyttäjän tietoihin ja laitteen toimintoihin.

Haavoittuvuudet koskevat kaikkia Android-versioita 5.0 (Lollipop) ja 4.4 (KitKat). Koska haavoittuvat sovellukset ovat tuotteessa kiinteästi, haavoittuvaa komponenttia voi olla mahdotonta poistaa. Myöskään todentamiseen käytettyjen varmenteiden voimassaoloa ei voi peruuttaa.

Check Pointin tarkistustyökalun avulla on löydetty joitain tapauksia, joissa haavoittuvuuksia on hyödynnetty. Lisäksi Google Play -kaupasta on havaittu Certifi-gate-haavoittuvuutta hyödyntävä haitallinen sovellus, joka sittemmin on poistettu kaupasta. On kuitenkin mahdollista, että vastaavia haittaohjelmia on enemmänkin.

Lisätietoa:


5. Stagefright 2

Trend Micron tietoturvatutkijat julkaisivat 17.8. tiedon Androidin mediaserver-komponentin haavoittuvuudesta, joka liittyy puskurin koon puutteelliseen tarkastamiseen. Haavoittuvuus mahdollistaa hyökkääjän koodin suorittamisen samoilla oikeuksilla kuin mediaserver-sovelluksella on, jos käyttäjä lataa haitallisen sovelluksen.

Haavoittuvuus koskee Android-versioita 2.3 - 5.1.1. Osaan laitteista on saatavilla päivitys.

Lisätietoa:


6. Multitasking-haavoittuvuus

Pennsylvania State Universityn tutkijat julkaisivat USENIX-konferenssissa (12.-14.8.) artikkelin, jonka mukaan Androidin moniajo-ominaisuutta (multitasking) voi käyttää haitallisesti siten, että haitallinen sovellus väärentää toisen sovelluksen käyttöliittymän. Tällä tavoin voidaan mm. varastaa käyttäjän kirjautumistietoja, saattaa laite palvelunestotilaan tai vakoilla käyttäjää.

Haavoittuvuus koskee kaikkia Android -versioita 3.x - 5.x. Googlen mukaan kyseessä on lähinnä teoreettinen haavoittuvuus, ja Androidin suojausominaisuudet, kuten Verify Apps ja Safety Net, suojaavat tällaisilta hyökkäyksiltä.

Lisätietoa:

Muista 6 suojautumiskeinoa

1. Asenna päivitykset

  • Asenna päivitykset, jos ne ovat saatavilla laitteeseesi. Päivitysten yhteydessä ei välttämättä ilmoiteta tarkasti, mitä haavoittuvuuksia päivitys korjaa.
  • Koskee haavoittuvuuksia: Stagefright, Silent Attack, uudelleenkäynnistyskierre, Certifi-gate (ainakin osa sovelluksista) Stagefright 2.

2. Mieti, mitä sovelluksia asennat ja millaisen sovelluskaupan valitset
  • Harkitse myös, mitä käyttöoikeuksia annat kullekin sovellukselle ja ovatko ne sille tarpeellisia. Sovelluskauppojen automaattitarkistusten ohi pääsee joskus myös haitallisia sovelluksia.
  • Auttaa ennaltaehkäisemään kaikkia haavoittuvuuksia.

3. Poista sovellukset, joita et käytä
  • Poista älypuhelimeltasi ja tabletiltasi esiasennetut sovellukset, joita et käytä. Kaikissa tuotteissa tämä ei ole kuitenkaan mahdollista.
  • Koskee haavoittuvuuksia: Certifi-gate
  • Auttaa ennaltaehkäisemään muitakin haavoittuvuuksia.

4. Harkitse, mitä klikkaat tai mitä viestejä avaat
  • Multimediaviestit, sähköpostit tai niiden linkit voivat sisältää haitallista mediasisältöä
  • Koskee haavoittuvuuksia: Stagefright

5. Poista multimediaviestien automaattinen lataus ja esikatselu

  • Koskee haavoittuvuuksia: Stagefright

6. Käytä myös tabletilla ja älypuhelimella jotain tietoturvatuotetta

Päivitysten asentaminen kannattaa

Androidin haavoittuvuuksien julkaisujen yhteydessä on tullut ilmi, että päivitysten jakelu on ollut hidasta. Näin, siksi että laitevalmistajia ja erilaisia versioita on useita. Kaikki valmistajat eivät välttämättä tue enää vanhimpia laitteita. Osaa sulautetuista järjestelmistä ei ole myöskään suunniteltu helposti päivitettäväksi.

Haavoittuvuus kuitenkin muodostaa riskin vasta sitten, kun on siihen on olemassa haavoittuvuutta hyödyntävä koodi tai sovellus (exploit). Jos laitteeseen on saatavilla päivityksiä, ne on silti hyvä asentaa. Haitalliset sovellukset voivat olla hankalia havaita, ja ne voivat piileskellä ja aktivoitua vasta myöhemmin.

Päivitysten saatavuuden voi tarkistaa laitteen päivitystoiminnolla tai valmistajan kotisivuilta.

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248