Kaarlo Räihä
28. marraskuuta, 2010 12:24
Android-laitteiden oletusselaimesta on jälleen löytynyt ikävä tietoturva-aukko, kun tietoturva-asiantuntija Thomas Cannon kertoi tämän viikon tiistaina uudesta löydöksestään, jonka avulla laitteen SD-muistikortilta voi kopioida tiedostoja etäpalvelimelle ilman käyttäjän suostumusta.
Tietoturva-aukon väärinkäyttö vaatii surffaajan johdattamisen sopivasti muokatulle internet-sivustolle, jolloin selain voi lähettää muistikortilta löytyviä tiedostoja halutulle palvelimelle Javascriptin avulla.
Aukon hyödyntäminen vaatii kuitenkin käytännössä tiettyjä sovelluksia vastaan tehtyjä iskuja, sillä selain ei näe SD-muistikortilla olevia tiedostoja, joten lähetettävän tiedoston nimi ja sijainti pitää tietää ennakkoon. Lisäksi Androidin tietoturvaa parantava hiekkalaatikko estää pääsyn puhelimen omiin tiedostoihin, joten esim. yhteystietojen vieminen osoitekirjasta ei onnistu.
Cannon ilmoitti ongelmasta Googlelle, joka korjaa parhaimmillaan aukkoa. Aukko vaivaa ainakin Androidin 2.2-versiota (Froyo), ja sen toimivuus on testattu virallisella emulaattorilla ja HTC:n Desire-puhelimella. Googlen mukaan korjaus tulee jakeluun 2.2-versiolle kunhan uusi Android 2.3 -versio (Gingerbread) saadaan ensin ulos.
Monien Android-puhelimien omistajille Googlen paikkauksista ei ole kuitenkaan hyötyä, koska useimmat puhelinvalmistajat eivät päivitä Android-puhelimiensa ohjelmistoja tarpeeksi usein, jonka lisäksi vanhemmat laitteet eivät välttämättä saa enää lainkaan päivityksiä.
Tietoturva-aukon voi onneksi tässä tapauksessa välttää esim. käyttämällä toista selainta tai ottamalla oletusselaimesta Javascript-tuen pois päältä.
Alla aukon hyväksikäyttöä esittelevä video