Manu Pitkänen
12. syyskuuta, 2016 7:30
Google julkaisi syyskuun alussa Androidille tietoturvapäivityksen, joka sisälsi paikkaukset viime viikolla julkistettuihin ja kriittisiksi luokiteltuihin tietoturva-aukkoihin.
Yksi aukoista löytyi Googlen oman haavoittuvuusmetsästysprojektin eli Project Zeron kautta. Haavoittuvuutta pidettiin vakavana, sillä sitä voidaan käytännössä hyödyntää hyökkäysten toteutuksessa monilla erilaisilla tavoilla. Koska haavoittuvuus löytyi libutils-kirjaston UTF-16–UTF-8-muunnosfunktioista, pystytään aukkoa hyödyntämään vaikkapa mediatiedostojen ID3-tagien avulla, kuten aukon löytänyt Mark Brand itse osoitti.
Toinen paikattu kriittinen haavoittuvuutta pystytään niin ikään hyödyntämään mediatiedostojen avulla. SentinelOnen löytämän aukon avulla voidaan Android-laitteisiin levittää haitallista koodia JPEG-kuviin tallennettujen muunnettujen EXIF-tietojen avulla. Vaaralliseksi haavoittuvuuden tekee se, että hyökkäyksen kohteen ei tarvitse varsinaisesti tehdä mitään edesauttaakseen haittakoodin leviämistä.
Aukkojen paikkausten lisäksi Google on joutunut putsaamaan Androidin sovelluskauppa. Tietoturvayhtiö Checkpoint löysi Google Play -sovelluskaupasta useita sovelluksia, joihin oli upotettu kahta erilaista koodia, joiden tavoitteena oli tuottaa petoksellisin keinoin liikevaihtoa mainosklikkauksin ja verkkosivuvierailujen avulla. CallJamiksi kutsutussa haittaohjelmakoodissa oli myös mahdollisuus soittaa maksullisiin numeroihin.
Saastuneita sovelluksia löytyi Google Playstä yli 40 kappaletta ja niille oli kertynyt yli kaksi miljoonaa latauskertaa. Yksi saastuneista sovelluksista oli nimetty Supercellin suositun pelin mukaan Gems Chest for Clash Royaleksi.