Lähes miljardin Android-puhelimen tietoturva vaarassa – päivitystä ei ole

Yksi tavallinen multimediaviesti saattaa avata hyökkääjälle koko matkapuhelimen sisällön.
Kotimaa 28.7.2015 15:30
Androidin logo.

Googlen Android-käyttöjärjestelmästä on löytynyt yhteensä kuusi kriittistä haavoittuvuutta, jotka koskevat 95 prosenttia kaikista järjestelmää käyttävistä puhelimista.

Haavoittuvuudet mahdollistavat muun muassa sen, että hyökkääjä ottaa haltuunsa koko puhelimen. Ne koskevat myös tabletteja, joissa käytetään Android-käyttöjärjestelmää.

Viestintävirasto varoitti asiasta tänään tiedotteessaan. Android-laitteiden haavoittuvuudet löysi tietoturvayhtiö Zimperium. Se valmistaa tietoturvatuotteita mobiililaitteisiin ja tekee myös alaan liittyvää tutkimusta.

Googlella on ollut tietoa asiasta jo useita kuukausia, ja Zimperium on toimittanut Googlelle ohjelmistokorjauksia. Talouslehti Forbesin haastattelema Zimperiumin varapääjohtaja Joshua Drake arvioi, että suurin osa laitevalmistajista ei ole vielä tehnyt tarvittavia korjauksia.

Drake uskoo, että jopa 950 miljoonaa Android-puhelinta saattaa olla haavoittuneita. Tämä koskee puhelimia versiosta 2.2 eteenpäin.

Haavoittuvuudet mahdollistavat vahingollisen ohjelmakoodin ajamisen Android-käyttöjärjestelmän mediatiedostojen Stagefright-käsittelykirjaston avulla. Haitallista sisältöä sisältävä mediatiedosto voidaan toimittaa laitteeseen esimerkiksi multimediaviestin avulla.

Haittakoodi saatetaan ajaa jopa ennen käyttäjän toimenpiteitä.

 

Viestintäviraston kyberturvallisuuskeskuksen tietoturva-asiantuntija Antti Kurittu sanoo, että toistaiseksi on vasta löydetty haavoittuvuudet, joita haittaohjelma voi käyttää hyväkseen. Varsinaista haittaohjelmaa ei ole vielä olemassa.

Kuritun mielestä on kuitenkin vain ajan kysymys, ennen kuin hakkerit tekevät hyökkäyksen.

”Haittaohjelma voi tehdä puhelimessa mitä tahansa. Joihinkin toisiin haavoittuvuuksiin yhdistettynä oikein rakennettu haittaohjelma voi ottaa haltuunsa koko puhelimen. Iso kysymys on se, millä tavoilla löytyneitä aukkoja tullaan hyväksikäyttämään”, Kurittu sanoo.

”Löydettyjä haavoittuvuuksia hyväksikäyttävä haittaohjelma saattaa voida ottaa komentoja hyökkääjältä, suorittaa niitä puhelimessa ja lähettää esimerkiksi ruudun sisällön tai mikrofonin kuulemat asiat takaisin hyökkääjälle. Käytännössä hyökkääjä pystyy tekemään puhelimella samat asiat kuin puhelimen omistaja.”

Tällä hetkellä Android-puhelimen omistaja ei voi tehdä mitään. On odotettava, että valmistajat tekevät päivitykset puhelimiinsa. Tämä voi kestää useita kuukausia. Joitakin vanhempia laitemalleja ei välttämättä enää päivitetä. Pari vuotta vanhoihin Androideihin ei välttämättä ole käyttötukea, eikä haavoittuvuutta paikata.

”Zimperiumin löytämiltä haavoittuvuuksilta voi suojautua osittain kytkemällä multimediaviestien esikatseluominaisuuden pois käytöstä. Ei myöskään kannata avata tuntemattomista numeroista saapuvia MMS-viestejä. Mutta paniikkiin ei ole syytä, koska haittaohjelmia ei ole vielä olemassa.”

 

Erilaisia haavoittuvuuksia löytyy jatkuvasti useista laitteistoista ja ohjelmistoista. Kuritun mukaan poikkeuksellista on se, että asia koskee niin suurta määrää puhelimia.

”Tässä tapauksessa haavoittuvuus on hyvin syvällä Androidin ytimen koodissa. Mitä syvemmällä ytimessä haava on, niin sitä enemmän mahdollinen haittaohjelma pystyy tekemään muutoksia puhelimen sisältöön.”

Zimperiumin tutkimustulokset esitellään lauantaina Las Vegasissa alkavassa Black Hat -tietoturvakonferenssissa. Se on alan merkittävin tapahtuma, jossa tutkivat tuovat esille tutkimuksiaan ja löytämiään haavoittuvuuksia.