Samsungin Galaxy-puhelimissa paha turva-aukko: puhelin tyhjenee nettisivun avaamalla

Teemu Laitila
25. syyskuuta, 2012 15:09

Samsungin suosituissa Galaxy-sarjan puhelimissa on havaittu vakava tietoturva-aukko. Puhelin voidaan palauttaa tehdasasetuksille vain lataamalla nettisivu, joka sisältää sopivan koodinpätkän. Vika koskee tämän hetkisten tietojen perusteella ainakin Galaxy S III:a, Galaxy S II:a, Galaxy Beamia ja Galaxy Acea. Myös muiden TouchWiz-käyttöliittymään perustuvien Samsung-puhelinten omistajien on syytä olla tarkkana. Samsungin Galaxy Nexus -puhelin ei ole altis hyökkäykselle.
Päivitys: Vika tuntuisi vaivaavan puhelimia valikoivasti riippuen asennetuista päivityksistä ja käytetyistä sovelluksista. Tietoja vian yleisyydestä ja haavoittuvista puhelinmalleista on keräilty muun muasa XDA-Developers-sivuston keskutelussa.
Turva-aukko tuli julkisuuteen Ekoparty-tapahtumassa, jossa Ravi Borgaonkar esitteli löytämäänsä haavoittuvuutta yleisölle. Turva-aukko perustuu USSD-koodeihin, joilla puhelimen toimintoja voi suorittaa näppäilemällä numerovalitsimeen tiettyjä numerosarjoja. Pienellä koodinpätkällä puhelimelle saadaan nettisivun kautta syötettyä USSD-koodi, joka aiheuttaa puhelimen palautumisen tehdasasetuksille. Lisäksi USSD-koodi voidaan syöttää puhelimelle tekstiviestin välityksellä.
Käyttäjä voidaan huijata puhelimen tyhjentävälle verkkosivustolle esimerkiksi nettisivun automaattisesti avaavan NFC-tagin tai nopeasti yleistyneiden QR-koodien avulla. Kun puhelin on suorittanut koodin, käyttäjä voi vain katsella puhelimen uudelleenkäynnistymistä ilman mahdollisuutta estää tapahtumaa.
Ongelmaan ei ole tällä hetkellä olemassa korjausta. Samsungin Android-puhelinten omistajien kannattaa olla tarkkoja puhelimella avattavien URL-osoitteiden kanssa eikä puhelimella kannata avata QR-koodeista peräisin olevia nettisivustoja, joiden luotettavuudesta ei ole varma.
Tekstiviestin avulla tapahtuvan hyökkäyksen voi estää poistamalla käytöstä joidenkin palveluiden hyödyntämän Service Loading -asetuksen tekstiviestisovelluksen asetusvalikosta. Nettisivun kautta tapahtuvanhyökkäyksen voi mahdollisesti kiertää myös käyttämällä muita selaimia kuin Samsungin vakioselainta. Hyviä vaihtoehtoja ovat esimerkiksi työpöydiltä tutut Firefox ja Chrome.
Pyysimme Samsungilta kommenttia tilanteeseen. Päivitämme kommentteja uutiseen niiden saapuessa.
Alla olevalla videolla Ravi Borgaonkar esittelee haavoittuvuutta Ekoparty-tapahtumassa. Samsungin Galaxy S III:n tyhjennys tapahtuu videon loppupuolella.

Edit 25.9.2012 15:17: Lisätty maininta hyökkäyksen onnistumisesta myös tekstiviestin välityksellä.
Edit 26.9.2012 10:17: Samsungin mukaan ongelma on korjattu ainakin Galaxy S III -puhelimen uusimassa ohjelmistossa, jonka koontinumero on IMM76D.I9300XXBLH3. Päivitys on julkaistu jo aiemmin tässä kuussa, mutta jos päivitystä ei ole vielä asentanut, se onnistuu helposti etsimällä puhelimesta Asetukset -> Tietoja laitteesta -> Ohjelmistopäivitys -> Päivitä.
Silti raporttien mukaan ongelma on havaittu myös ainakin Galaxy S Advance -mallissa ja mahdollisesti myös muissa malleissa, mutta saatavilla ei ole tarkempia tietoja haavoittuvuudelle alttiista käyttöjärjestelmäversioista, joten käyttäjiä kehotetaan edelleen varovaisuuteen, kunnes tiedot tarkentuvat.