Kaarlo Räihä
5. marraskuuta, 2010 14:42
HouSecCon-tietoturvatapahtuma nousi eilen nopeasti otsikoihin, kun tietoturvatutkija M.J. Keith esitteli tilaisuudessa vanhemmista Android-laitteista löytyvää vakavaa tietoturva-aukkoa. Aukko liittyy tapaan, jolla Webkit-selainmoottori käsittelee webbisivuja, joten hyökkäykseen riittää mobiilisurffaajan johdattaminen sopivasti muokatulle sivustolle.
Keithin löydös on korjattu Androidin Froyo-versiolla (2.2) varustetuissa laitteissa, mutta kaikki aiemmat Androidin versiot ovat alttiita hyökkäykselle. Selaimen lisäksi hyökkäys toimii myös niitä sovelluksia vastaan, jotka käsittelevät sisältöä Webkitin avulla.
Hyökkäys mahdollistaa koodin suorittamisen puhelimessa, mutta koska Webkit-moottoria ajetaan oletuksena rajoitetuilla oikeuksilla, ei pelkästään tällä hyökkäyksellä pääse käsiksi puhelimen kaikkiin tietoihin, mutta esim. SD-muistikortin sisältö voi päätyä vääriin käsiin.
Keith on julkaissut YouTubessa lyhyen videon, jossa esitellään hyökkäyksen toimivuutta Android-emulaattorin kanssa. Lisäksi Keith on julkaissut esimerkkikoodin, jonka avulla hyökkäyksiä voi suorittaa.
Vanhemmille Android-puhelinten omistajille tietoturva-aukko on ikävä, koska puhelinvalmistajat eivät todennäköisesti julkaise niille korjattua versiota Androidista. Täten tietoturva-aukon korjaaminen onnistuu lähinnä epävirallisen firmware-päivityksen asentamisella, joka vie samalla takuun puhelimesta.
Alla hyökkäystä esittelevä video