Uutta sivustolla

Tervetuloa takaisin!Edellisen käyntisi jälkeen Puhelinvertailuun on tullut .

Katso tapahtumat viime käyntisi jälkeen.

Tietoturvayhtiö varoittaa: Android-puhelimissa hurja tietoturva-aukko

10
Puhelinvertailu

Tietoturvayhtiö Check Point Software Technologies varoittaa Android-puhelimista löytyneestä tietoturva-aukosta. Yhtiö kertoi haavoittuvuudesta Black Hat USA 2015 -tapahtumassa Las Vegasissa tänään.

Haavoittuvuus koskee Check Pointin mukaan jopa satoja miljoonia Android-laitteita useilta valmistajilta. Mukana on laitteita suosituimmilta Android-laitevalmistajilta, kuten Samsungilta, LG:ltä ja HTC:lta.
Ongelma on etäohjausohjelmistossa, jonka avulla laite voidaan ottaa hallintaan etäyhteydellä, jota yleensä käytetään esimerkiksi IT-tuen toimesta. Ohjelmisto voi olla esiasennettu puhelimeen tai se voidaan asentaa jälkikäteen etähallintaa varten.

Check Pointin mukaan hallinnassa olevan puhelimen toimintoja voidaan käyttää vapaasti eikä ongelmaan ole pikaista ratkaisua. Haavoittuvuuden korjaaminen vaatii käyttöjärjestelmän päivittämistä, josta valmistajat ovat myös tietoisia.

Yhtiön tarkistussovelluksella (löytyy Google Playstä ) voi tarkistaa onko laite altis haavoittuvuudelle.
Puhelinvertailun Nopeat

"Nopeat" ovat nopeita löytöjä Internetin syövereistä, jotka ovat meidän mielestämme jollain tavalla kiinnostavia, hauskoja tai ajankohtaisia. Ne eivät kuitenkaan ole (välttämättä) merkittäviä aiheeltaan tai eivät sovi tyypilliseen uutistuotantoomme aiheensa puolesta, joten emme kirjoittaneet aiheesta pidempää uutista, vaan julkaisemme löydöksemme nopeana video-, kuva- tai linkkivirtana. Tämä osio on kokeellinen ja toivommekin näistä "nopeista" nostoista palautetta teiltä, käyttäjämme.

Kommentit (10)

Agent_007
Agent_007

1

Jälleen mainio esimerkki todella huonosti toteutetusta tietoturvasta.

Muutamat puhelinvalmistajat ovat siis lisänneet puhelimiinsa mahdollisuuden antaa sovellukselle kaikki mahdolliset oikeudet, kunhan sovellus vain esittelee itsensä tietyllä tavalla.

Tämän oikeuden tarkistamiseen käytettävää sertifikaattia ei voi kuluttaja tietenkään poistaa millään tavalla, eikä kuluttaja voi myöskään estää tuota esittelyä.

Puhelinvalmistajat eivät voi myöskään tehdä kumpaakaan noista asioista ilman käyttöjärjestelmäpäivitystä.

Vastaa
yks_papparainen
yks_papparainen

2

Tulipa samantien tarkistettua tuolla CheckPointin ohjelmalla oman laitteen - Samsung - turvallisuus. Ja on siitä näemmä taas hieman hyötyä kun ei jaksa odottaa laitevalmistajan käyttispäivityksiä. Puhelimessa CyanogenMod 11 Android-versiolla 4.4.4. Kun uudempaa ei ko. laitteelle vielä ole. Mutta vihreätä näyttää.

Eli ei koske meikäläistä tuo turvauhka. Mutta yritysasiakkeillehan tuo toki onkin kohdennettu - varmaankin. Toivottavasti tämä nyt sitten korjataan ensimmäisessä Googlen kuukautispäivityksessä - ellei ennemminkin...

Vastaa
EJH50FIN
EJH50FIN

3

Se on iskenyt laitteeseeni.
Minulla on Samsung Galaxy Express 2, ja android 4.2.2-versio.
Pirskahti vieköön.

Vastaa
user@org (vahvistamaton)

4

Lainaus:

Ongelma on etäohjausohjelmistossa, jonka avulla laite voidaan ottaa hallintaan etäyhteydellä,

Siis sanotaanko tuossa että laitteen etäohjausohjelmassa on jokina ongelma joka mahdollistaa kenenkätahansa ottaa kohdelaitteeseen yhteys ja hallita laitetta, jos paikallisesti, samassa verkossa, tai muuraamattoman netin yli ?

Vai kerrotaanko tuossa vain se mitä ohjelmalla voi tehdä, eikä liity ise haavoittuvuuteen ja menetelmään ?

Vastaa
WereCatf
WereCatf

5

Lainaus, alkuperäisen viestin kirjoitti user@org:

Lainaus:

Ongelma on etäohjausohjelmistossa, jonka avulla laite voidaan ottaa hallintaan etäyhteydellä,

Siis sanotaanko tuossa että laitteen etäohjausohjelmassa on jokina ongelma joka mahdollistaa kenenkätahansa ottaa kohdelaitteeseen yhteys ja hallita laitetta, jos paikallisesti, samassa verkossa, tai muuraamattoman netin yli ?

Vai kerrotaanko tuossa vain se mitä ohjelmalla voi tehdä, eikä liity ise haavoittuvuuteen ja menetelmään ?

Suurin osa näistä eri valmistajien puhelimistä sisältää yhden tai toisen etäohjausohjelman, jolla voi juuri tehdä noita yllämainittuja juttuja. Ja juu, ongelma sijaitsee siinä ohjelmassa.

Alkaa vähitellen kyllä ketuttaa, enkä jaksa jäädä odottelemaan sormi perseessä, että koskahan LG viitsi julkaista päivityksiä; vedin oman puhelimen sileäksi ja pistin cyanogenmodin tilalle.

Vastaa
Agent_007
Agent_007

6

Lainaus:

Siis sanotaanko tuossa että laitteen etäohjausohjelmassa on jokina ongelma joka mahdollistaa kenenkätahansa ottaa kohdelaitteeseen yhteys ja hallita laitetta, jos paikallisesti, samassa verkossa, tai muuraamattoman netin yli ?


Tämän tietoturva-aukon hyödyntäminen vaatii haitallisen sovelluksen asentamista laitteeseen, joka hyödyntää tuossa sertifikaatin varmennuksessa olevaa virhettä.

Eli jos puhelimeen ei asenna uusia sovelluksia niin tavalliselle käyttäjälle ei tästä aukosta ole varsinaista ongelmaa. Ja Google on varmaankin jo lisännyt Playn turvatarkistuksiin kohdan noille sertifikaatti-väärennöksille, joten kovin laajaa haittaohjelma-aaltoa tästä tuskin tulee Play-luureihin.

Mutta tämä aukko aiheuttaa vielä kyllä suuria ongelmia niissä maissa joissa ladataan paljon sovelluksia epämääräisistä lähteistä.

Vastaa
user@org (vahvistamaton)

8

Lainaus, alkuperäisen viestin kirjoitti Agent_007:


Tämän tietoturva-aukon hyödyntäminen vaatii haitallisen sovelluksen asentamista laitteeseen, joka hyödyntää tuossa sertifikaatin varmennuksessa olevaa virhettä.


Ok, kiitos tiedosta.

Eli kyse ei ole etäkäytöstä, paitsi jos tuon avulla asenentaan etäkäytön mahdollistava haittaohelma.

Mutta miten ongelma liittyy etäkäyttö ohjelmaan, onko kyse siitä että tuossa mainituss etäkäyttöohjelmassa itsessään on jokin sertifikaatin tarkistus jossa aukkoja ja sitä kautta voi tuon mainitun ohjelman oikeuksilla sitten ajaa koodia ?

Vai onko kyse siitä että itse Androidissa on sertifikaatti ongelma ?

Lainaus, alkuperäisen viestin kirjoitti Agent_007:


Eli jos puhelimeen ei asenna uusia sovelluksia niin tavalliselle käyttäjälle ei tästä aukosta ole varsinaista ongelmaa. ...


Kiitos vielä kertomastasi, alkuperäisen uutisen perusteella tuli jo pelko että luureista pitää katkoa paikalliset ja nettiyhteydet.
Riskitaso ilmeisesti varsin matala, vaatii siis ilmeisesti käyttäjän toimia, eli siis se vanha, asenna vain luotettuja ohjelmia.

Vastaa
Agent_007
Agent_007

9

Lainaus:

Mutta miten ongelma liittyy etäkäyttö ohjelmaan, onko kyse siitä että tuossa mainituss etäkäyttöohjelmassa itsessään on jokin sertifikaatin tarkistus jossa aukkoja ja sitä kautta voi tuon mainitun ohjelman oikeuksilla sitten ajaa koodia ?


Ongelma on siinä, että nuo tietyt puihelinvalmistajat ovat lisänneet omiin Android-versioihinsa lisätoiminnon, jonka avulla sovellus saa itselleen lähes kaikki mahdolliset oikeuden puhelimen toimintoihin, jos sovellus vain esittää sopivan tunnisteen järjestelmälle. Näitä tunnisteita on sitten jaettu noille firmoille, jotka tekevät etähallintatyökaluja puhelimille.

Koska nuo puhelinten toteutukset eivät tarkista tuota tunnistetta oikealla tavalla, on sellainen mahdollista väärentää (olettettavasti väärennöksen luonti ei vaadi juurikaan laskentatehoa), jolloin puhelin luulee haittaohjelmaa tuollaiseksi erikoisoikeuksia saavaksi sovellukseksi.

"The root causes of these vulnerabilities include hash collisions, IPC abuse and certificate forging, which allow an attacker to grant their malware complete control of a victim's device"
http://www.ibtimes.co.uk/certifi-gate-m...tablets-1514398

Eli ongelma ei koske Androidia yleisesti, vaan ainoastaan noita tiettyjen valmistajien laitteita.

Ja kuten ensimmäisessä viestissä sanoin, on tuollaisen toiminnallisuuden lisääminen tuossa muodossaan todellinen EPIC fail puhelinvalmistajien puolelta, sillä tuota ominaisuutta on voinut väärinkäyttää tähänkin mennessä kuka tahansa, joka on noita tunnisteita voinut luoda (esim. tiedustelupalvelut tai noissa firmoissa töissä olleet ihmiset).

Vastaa
user@org (vahvistamaton)

10

Lainaus, alkuperäisen viestin kirjoitti Agent_007:


Ongelma on siinä, että nuo tietyt puihelinvalmistajat ovat lisänneet omiin Android-versioihinsa lisätoiminnon, jonka avulla sovellus saa itselleen lähes kaikki mahdolliset oikeuden puhelimen toimintoihin, jos sovellus vain esittää sopivan tunnisteen järjestelmälle. Näitä tunnisteita on sitten jaettu noille firmoille, jotka tekevät etähallintatyökaluja puhelimille.


Eli uutistoitu etähallintaohjelma on ihan aiheen vierestä ja varsinainen asia unohtunut.
Kiitos tarkennuksesta.

Lainaus, alkuperäisen viestin kirjoitti Agent_007:


Eli ongelma ei koske Androidia yleisesti, vaan ainoastaan noita tiettyjen valmistajien laitteita.


Mistä yhteisestä lähteestä toteutus on peräisin, jos kerran useat valmistajat on sen omaan toteutukseen ottaneet?

Onko jotkin operaattorit (välikätenä) sanoneet että tuollainen pitää olla. ?

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.

Keskustelut

Lisää keskusteluja