Uutta sivustolla

Tervetuloa takaisin!Edellisen käyntisi jälkeen Puhelinvertailuun on tullut .

Katso tapahtumat viime käyntisi jälkeen.

Android-puhelimet vaarassa: Tutkija löysi tavan murtaa salauksen

1
Manu Pitkänen

Android-puhelimet vaarassa: Tutkija löysi tavan murtaa salauksen
Google otti käyttöön Android 5.0 Lollipopista alkaen levysalauksen (full-disk encryption, FDE), jonka tarkoituksena on salata kaikki puhelimella käsiteltävät tiedot ennen kuin ne kirjoitetaan puhelimen muistiin. Tällöin niihin ei pääse käsiksi ellei tiedä salauksen avaamiseen tarkoitettua salasanaa. Tietoturvatutkija Gal Beniamini on löytänyt kuitenkin kaksi haavoittuvuutta, joiden avulla viranomainen tai pahaa tahtova hyökkääjä voi onkia puhelimen salaukseen käytetyn salasanan.

Haavoittuvuudet eivät koske varsinaisesti Androidin levysalausta, vaan Qualcommin TrustZone-tietoturvasäiliötä. Näin ollen ilmi tullut tietoturvaongelma ei ole varsinaisesti Googlen ongelma, vaan sen yhteistyökumppanin. Haavoittuvuuksien ansiosta hyökkääjällä on mahdollisuus murtaa Androidin levysalaus brute-force-tekniikalla, mikä on normaalissa tilanteessa tehty liian työlääksi ja aikaa vieväksi.
Googlen keino tehdä brute-force-hyökkäyksistä, erityisesti ulkopuolisella laitteella automatisoiduista hyökkäyksistä, voimattomia levysalauksen kohdalla, on ollut monimutkainen KeyMaster-salausavain. Sen tehtävänä on varmistaa, että syötetyt salasanat on tuotettu puhelimella ohjelmistollisesti. Avain säilötään TrustZoneen, josta sen ei pitäisi olla kenenkään saatavilla. Tietoturvatutkija Gal Beniamini on kuitenkin löytänyt ja esitellyt julkisesti tavan kuinka avain saadaan kaapattua. Kun KeyMaster-avain on tiedossa, voidaan puhelimen suojaukseen käytetty salasana selvittää brute-force-tekniikalla.

Haavoittuvuudet on jo paikattu, mutta ongelmana on vain se, että korjauspäivitykset eivät löydä kovin tehokkaasti käytössä oleviin puhelimiin.

Kommentit (1)

Nikotiko
Nikotiko

1

"Haavoittuvuudet on jo paikattu, mutta ongelmana on vain se, että korjauspäivitykset eivät löydä kovin tehokkaasti käytössä oleviin puhelimiin."

Tuon takia kannattaa unohtaa mikä tahansa muu kuin Nexus puhelin vaihtoehtona.

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.

Keskustelut

Lisää keskusteluja