Lähes kaikista Android-laitteista löytyi vakava aukko – Tämä on ainoa tapa suojautua

8
Manu Pitkänen

Lähes kaikista Android-laitteista löytyi vakava aukko – Tämä on ainoa tapa suojautua
Tietoturvayhtiö Zimperium on kertonut löytäneensä Android-käyttöjärjestelmästä vakavan haavoittuvuuden, joka mahdollistaa haitallisen koodin ajamisen Android-pohjaisissa laitteissa. Haavoittuvuus koskee kaikkia Android 2.2.–5.1.1-pohjaisia laitteita.

Zimperiumin havaitsema aukko liittyy mediatiedostojen Stagefright-käsittelykirjastoon ja aukon hyödyntäminen ei vaadi kuin haitallisen MMS-mediaviestin lähettämisen kohteelle. Vaaralliseksi aukon tekee se, että käyttäjältä ei vaadita minkäänlaisia toimenpiteitä aukon hyödyntämiseen – riittää, että hyökkääjä pystyy lähettämään viestin kohdelaitteeseen.

Lisäksi viesti voidaan poistattaa ennen kuin käyttäjä edes havaitsee mitään.

Viestintävirasto suositteleekin Android-laitteiden omistajia kytkemään MMS-viestit pois päältä ja välttämään tuntemattomista numeroista saapuvien viestien avaamista.

Google korjannee aukon, mutta on täysin toinen kysymys kilahtaako korjauspäivitys puhelimeesi koskaan. Laitevalmistajien muokkausten takia päivityksen saapumiseen voi mennä useampi kuukausi ja kaikkein vanhimpia laitteita tullaan tuskin koskaan korjaamaan.





Tilaa Puhelinvertailun uutiskirje!

Lähetämme noin kerran viikossa uutiskirjeen, joka sisältää viikon ajalta tärkeimmät uutisemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Parhaat kännykkätarjoukset

HMD Pulse+ – hinta laskenut -37%

Oppo Reno10 – hinta laskenut -35%

Oppo Reno10
179 € DNA
275 € Summ

Alin hinta viikko sitten: 275 €

Honor 200 Smart – hinta laskenut -34%

Honor 200 Smart
99 € Veikon Kone
99 € Power
149 € Verkkokauppa.com

Alin hinta viikko sitten: 149 €

Honor X8a – hinta laskenut -30%

Honor X8a
69 € DNA

Alin hinta viikko sitten: 99 €

Kommentit (8)

JoniS
JoniS

1

Aukko on korjattu, tämän löytänyt kaveri toimitti patchit samalla kun ilmoitti asiasta ja google on ne jo lisännyt coreen.(tosin ei löydy aosp puusta ilmeisesti vielä).

Myös esim. Cm 12/12.1 versioihin tämä on paikattu pari viikkoa sitten.

Vastaa
Anonyymi käyttäjä
user@org (vahvistamaton)

2

Lainaus:

Tämä on ainoa tapa suojautua


MMS viestien poiskytkeminen estää MMS viestienkautta hyökkäämisen, ei muuten auta.

Aukkoa ajatellen ilman päivitystä se pidemmän päälle vähinten ongelmallinen, sillä operaattori voi suodattaa haittaviestit ja massa hyökkäykseen "kallis" ja jälkiä jättävä kanava.

Esim firma

Kaikki muu onkin sitten haasteellista, käyttäjän pitäisi "sulkea" kaikki ko kirjastoa käyttävä sovellukset joiden mahdolliseen sisältöön ei voi luottaa.

Vastaa
Agent_007
Agent_007

3

Tohon MMS-ongelmaan auttaa myös MMS-sovelluksen vaihto toiseen, joka ei käytä Stagefrightia.

Androidin lisäksi ainakin Firefox OS käyttää Stagefrightia, mutta siinä ongelma on jo kai korjattu aiemmin.

Tämä ongelma on nähtävästi pahin niissä luureissa, joissa Stagefrightia ajetaan jostain mystisestä syystä laajoilla käyttöoikeuksilla (esim. Samsung Galaxy S4 ja LG Optimus Elite), jolloin hyökkääjä pääsee suoraan käsiksi suurimpaan osaa luurin toiminnoista.

Vastaa
ardiccari
ardiccari

4

Kysymys toimitukselle: miksi suojautumiskeino "MMS-viestit pois päältä" ei lue suoraan otsikossa? En pidä siitä, että minua kiristetään lukemaan artikkeli jättämällä uutisen olennaisin seikka pelkän vihjauksen asteelle ja uhkaamalla laitteen turvattomaksi jäämisellä muussa tapauksessa. Pahoitteluni vahvojen ilmasujen käytöstä, mutta tästähän on käytännössä kyse.

Sivuhuomautuksena vielä, että pidän Afterdawnin eri sivustoista ja olisin lukenut artikkelin joka tapauksessa. Huonosta journalismista (jota epäselvä otsikointi on) pisteet kuitenkin pikkuhiljaa valitettavasti laskevat.

Vastaa
JoniS
JoniS

5

@ardiccari

Ei mms viestien pois laitto yksinään estä käyttämästä tuota, vaan kaikki sovellukset mitkä käyttää tuota haavoittuvaa kirjastoa on potentiaalisia riskejä.

Vastaa
Daavon
Daavon

6

Riittääkö Galaxy S4 omistajalle että poistaa Access Point Names valikosta mms asetukset ja jättää vain internet asetukset?

Vastaa
JoniS
JoniS

7

Lainaus, alkuperäisen viestin kirjoitti Daavon:

Riittääkö Galaxy S4 omistajalle että poistaa Access Point Names valikosta mms asetukset ja jättää vain internet asetukset?

Se estää tuon aukon käytön mms viestien välityksellä, muttei paikkaa sitä todellista aukkoa, mitä voidaan senkin jälkeen käyttää muuta kautta.

Vastaa
Anonyymi käyttäjä
miesss (vahvistamaton)

8

mulla on samsung galaxy s4 mini ja en ite osaa laittaa pois päältä MMS-viestejä että voisiko joku auttaa :)

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.