Androidin 6 haavoittuvuutta

1. Stagefright

Tietoturvayhtiö Zimperium julkisti 21.7.2015 ennakkotietoa Stagefright-haavoittuvuuksista ja lopullinen julkistus oli 5.8. Black Hat -konferenssissa. Kyseessä on joukko haavoittuvuuksia mediatiedostojen käsittelyyn käytetyn Stagefright-kirjaston mediaserver-komponentissa. Haavoittuvuudet mahdollistavat haitallisen ohjelmakoodin suorittamisen kohdejärjestelmässä jopa ilman käyttäjän toimia, jos haitallista sisältöä sisältävä mediatiedosto toimitetaan laitteeseen esimerkiksi multimediaviestin avulla.

Haavoittuvuus koskee Android-versioita 2.2. - 5.1.1. Osaan laitteista on saatavilla päivitys, mutta päivitykset eivät välttämättä ole täysin kattavia.

2. Silent Attack

Trend Micron tietoturvatutkijat julkaisivat 29.7. tiedon Androidin mediaserver-komponentin haavoittuvuudesta. Haavoittuvuus mahdollistaa laitteen mykistämisen, jolloin esimerkiksi puhelimella ei voi soittaa puheluita, puhelimen hälytysäänet eivät soi ja näyttö voi reagoida hitaasti tai ei ollenkaan.

Tämän .mkv-mediatiedostojen käsittelyyn liittyvän haavoittuvuuden hyödyntäminen vaatii, että käyttäjä asentaa haitallisen sovelluksen tai avaa www-sivun, jossa on haitallinen mediatiedosto.

Haavoittuvuus koskee Android-versioita 4.3 - 5.1.1. Osaan laitteista on saatavilla päivitys.

3. Uudelleenkäynnistyskierre

Trend Micron tietoturvatutkijat julkaisivat 4.8. tiedon Androidin mediaserver-komponentin haavoittuvuudesta, jota hyödyntämällä voi saada aikaan palvelunestotilan siten, että laite käynnistetään uudestaan ja näin akku kulutetaan loppuun. Vakavimmillaan haittakoodi saa laitteen käynnistymään toistuvasti uudelleen, minkä vuoksi sen käyttö on mahdotonta.

Haavoittuvuuden hyödyntäminen vaatii, että käyttäjä lataa haitallisen sovelluksen tai avaa www-sivun, jossa on haitallinen mediatiedosto.

Haavoittuvuus koskee Android-versioita 4.0.1 - 5.1.1. Osaan laitteista on saatavilla päivitys.

4. Certifi-gate

Check Point julkaisi 6.8. tiedon Certifi-gate-haavoittuvuuksista Android-laitteiden etätukityökaluissa (mobile Remote Support Tool, mRST) . Haavoittuvuudet liittyvät todennuskäytäntöihin toteutuksiin.

Tällaisia kolmannen osapuolen sovelluksia on mukana lähes kaikissa Android-laitteissa joko tuotteeseen kuuluvina tai teleoperaattorin tekeminä esiasennuksina. Haavoittuvuuksia hyödyntävä haitallinen sovellus voi saada rajoittamattomat käyttöoikeudet käyttäjän tietoihin ja laitteen toimintoihin.

Haavoittuvuudet koskevat kaikkia Android-versioita 5.0 (Lollipop) ja 4.4 (KitKat). Koska haavoittuvat sovellukset ovat tuotteessa kiinteästi, haavoittuvaa komponenttia voi olla mahdotonta poistaa. Myöskään todentamiseen käytettyjen varmenteiden voimassaoloa ei voi peruuttaa.

Check Pointin tarkistustyökalun avulla on löydetty joitain tapauksia, joissa haavoittuvuuksia on hyödynnetty. Lisäksi Google Play -kaupasta on havaittu Certifi-gate-haavoittuvuutta hyödyntävä haitallinen sovellus, joka sittemmin on poistettu kaupasta. On kuitenkin mahdollista, että vastaavia haittaohjelmia on enemmänkin.

5. Stagefright 2

Trend Micron tietoturvatutkijat julkaisivat 17.8. tiedon Androidin mediaserver-komponentin haavoittuvuudesta, joka liittyy puskurin koon puutteelliseen tarkastamiseen. Haavoittuvuus mahdollistaa hyökkääjän koodin suorittamisen samoilla oikeuksilla kuin mediaserver-sovelluksella on, jos käyttäjä lataa haitallisen sovelluksen.

Haavoittuvuus koskee Android-versioita 2.3 - 5.1.1. Osaan laitteista on saatavilla päivitys.

6. Multitasking-haavoittuvuus

Pennsylvania State Universityn tutkijat julkaisivat USENIX-konferenssissa (12.-14.8.) artikkelin, jonka mukaan Androidin moniajo-ominaisuutta (multitasking) voi käyttää haitallisesti siten, että haitallinen sovellus väärentää toisen sovelluksen käyttöliittymän. Tällä tavoin voidaan mm. varastaa käyttäjän kirjautumistietoja, saattaa laite palvelunestotilaan tai vakoilla käyttäjää.

Haavoittuvuus koskee kaikkia Android -versioita 3.x - 5.x. Googlen mukaan kyseessä on lähinnä teoreettinen haavoittuvuus, ja Androidin suojausominaisuudet, kuten Verify Apps ja Safety Net, suojaavat tällaisilta hyökkäyksiltä.

Muista 6 suojautumiskeinoa

1. Asenna päivitykset

Asenna päivitykset, jos ne ovat saatavilla laitteeseesi. Päivitysten yhteydessä ei välttämättä ilmoiteta tarkasti, mitä haavoittuvuuksia päivitys korjaa.
Koskee haavoittuvuuksia: Stagefright, Silent Attack, uudelleenkäynnistyskierre, Certifi-gate (ainakin osa sovelluksista) Stagefright 2.

2. Mieti, mitä sovelluksia asennat ja millaisen sovelluskaupan valitset
Harkitse myös, mitä käyttöoikeuksia annat kullekin sovellukselle ja ovatko ne sille tarpeellisia. Sovelluskauppojen automaattitarkistusten ohi pääsee joskus myös haitallisia sovelluksia.
Auttaa ennaltaehkäisemään kaikkia haavoittuvuuksia.

3. Poista sovellukset, joita et käytä
Poista älypuhelimeltasi ja tabletiltasi esiasennetut sovellukset, joita et käytä. Kaikissa tuotteissa tämä ei ole kuitenkaan mahdollista.
Koskee haavoittuvuuksia: Certifi-gate
Auttaa ennaltaehkäisemään muitakin haavoittuvuuksia.


4. Harkitse, mitä klikkaat tai mitä viestejä avaat
Multimediaviestit, sähköpostit tai niiden linkit voivat sisältää haitallista mediasisältöä
Koskee haavoittuvuuksia: Stagefright

5. Poista multimediaviestien automaattinen lataus ja esikatselu
Koskee haavoittuvuuksia: Stagefright

6. Käytä myös tabletilla ja älypuhelimella jotain tietoturvatuotetta


Lähde: Viestintävirasto