Haavoittuvuus koskee Check Pointin mukaan jopa satoja miljoonia Android-laitteita useilta valmistajilta. Mukana on laitteita suosituimmilta Android-laitevalmistajilta, kuten Samsungilta, LG:ltä ja HTC:lta.
Ongelma on etäohjausohjelmistossa, jonka avulla laite voidaan ottaa hallintaan etäyhteydellä, jota yleensä käytetään esimerkiksi IT-tuen toimesta. Ohjelmisto voi olla esiasennettu puhelimeen tai se voidaan asentaa jälkikäteen etähallintaa varten.
Check Pointin mukaan hallinnassa olevan puhelimen toimintoja voidaan käyttää vapaasti eikä ongelmaan ole pikaista ratkaisua. Haavoittuvuuden korjaaminen vaatii käyttöjärjestelmän päivittämistä, josta valmistajat ovat myös tietoisia.
Yhtiön tarkistussovelluksella (löytyy Google Playstä ) voi tarkistaa onko laite altis haavoittuvuudelle.
Kommentit (10)
Jälleen mainio esimerkki todella huonosti toteutetusta tietoturvasta.
Muutamat puhelinvalmistajat ovat siis lisänneet puhelimiinsa mahdollisuuden antaa sovellukselle kaikki mahdolliset oikeudet, kunhan sovellus vain esittelee itsensä tietyllä tavalla.
Tämän oikeuden tarkistamiseen käytettävää sertifikaattia ei voi kuluttaja tietenkään poistaa millään tavalla, eikä kuluttaja voi myöskään estää tuota esittelyä.
Puhelinvalmistajat eivät voi myöskään tehdä kumpaakaan noista asioista ilman käyttöjärjestelmäpäivitystä.
Tulipa samantien tarkistettua tuolla CheckPointin ohjelmalla oman laitteen - Samsung - turvallisuus. Ja on siitä näemmä taas hieman hyötyä kun ei jaksa odottaa laitevalmistajan käyttispäivityksiä. Puhelimessa CyanogenMod 11 Android-versiolla 4.4.4. Kun uudempaa ei ko. laitteelle vielä ole. Mutta vihreätä näyttää.
Eli ei koske meikäläistä tuo turvauhka. Mutta yritysasiakkeillehan tuo toki onkin kohdennettu - varmaankin. Toivottavasti tämä nyt sitten korjataan ensimmäisessä Googlen kuukautispäivityksessä - ellei ennemminkin...
Se on iskenyt laitteeseeni.
Minulla on Samsung Galaxy Express 2, ja android 4.2.2-versio.
Pirskahti vieköön.
Siis sanotaanko tuossa että laitteen etäohjausohjelmassa on jokina ongelma joka mahdollistaa kenenkätahansa ottaa kohdelaitteeseen yhteys ja hallita laitetta, jos paikallisesti, samassa verkossa, tai muuraamattoman netin yli ?
Vai kerrotaanko tuossa vain se mitä ohjelmalla voi tehdä, eikä liity ise haavoittuvuuteen ja menetelmään ?
Suurin osa näistä eri valmistajien puhelimistä sisältää yhden tai toisen etäohjausohjelman, jolla voi juuri tehdä noita yllämainittuja juttuja. Ja juu, ongelma sijaitsee siinä ohjelmassa.
Alkaa vähitellen kyllä ketuttaa, enkä jaksa jäädä odottelemaan sormi perseessä, että koskahan LG viitsi julkaista päivityksiä; vedin oman puhelimen sileäksi ja pistin cyanogenmodin tilalle.
Tämän tietoturva-aukon hyödyntäminen vaatii haitallisen sovelluksen asentamista laitteeseen, joka hyödyntää tuossa sertifikaatin varmennuksessa olevaa virhettä.
Eli jos puhelimeen ei asenna uusia sovelluksia niin tavalliselle käyttäjälle ei tästä aukosta ole varsinaista ongelmaa. Ja Google on varmaankin jo lisännyt Playn turvatarkistuksiin kohdan noille sertifikaatti-väärennöksille, joten kovin laajaa haittaohjelma-aaltoa tästä tuskin tulee Play-luureihin.
Mutta tämä aukko aiheuttaa vielä kyllä suuria ongelmia niissä maissa joissa ladataan paljon sovelluksia epämääräisistä lähteistä.
--
Ok, kiitos tiedosta.
Eli kyse ei ole etäkäytöstä, paitsi jos tuon avulla asenentaan etäkäytön mahdollistava haittaohelma.
Mutta miten ongelma liittyy etäkäyttö ohjelmaan, onko kyse siitä että tuossa mainituss etäkäyttöohjelmassa itsessään on jokin sertifikaatin tarkistus jossa aukkoja ja sitä kautta voi tuon mainitun ohjelman oikeuksilla sitten ajaa koodia ?
Vai onko kyse siitä että itse Androidissa on sertifikaatti ongelma ?
Kiitos vielä kertomastasi, alkuperäisen uutisen perusteella tuli jo pelko että luureista pitää katkoa paikalliset ja nettiyhteydet.
Riskitaso ilmeisesti varsin matala, vaatii siis ilmeisesti käyttäjän toimia, eli siis se vanha, asenna vain luotettuja ohjelmia.
Ongelma on siinä, että nuo tietyt puihelinvalmistajat ovat lisänneet omiin Android-versioihinsa lisätoiminnon, jonka avulla sovellus saa itselleen lähes kaikki mahdolliset oikeuden puhelimen toimintoihin, jos sovellus vain esittää sopivan tunnisteen järjestelmälle. Näitä tunnisteita on sitten jaettu noille firmoille, jotka tekevät etähallintatyökaluja puhelimille.
Koska nuo puhelinten toteutukset eivät tarkista tuota tunnistetta oikealla tavalla, on sellainen mahdollista väärentää (olettettavasti väärennöksen luonti ei vaadi juurikaan laskentatehoa), jolloin puhelin luulee haittaohjelmaa tuollaiseksi erikoisoikeuksia saavaksi sovellukseksi.
"The root causes of these vulnerabilities include hash collisions, IPC abuse and certificate forging, which allow an attacker to grant their malware complete control of a victim's device"
http://www.ibtimes.co.uk/certifi-gate-m...tablets-1514398
Eli ongelma ei koske Androidia yleisesti, vaan ainoastaan noita tiettyjen valmistajien laitteita.
Ja kuten ensimmäisessä viestissä sanoin, on tuollaisen toiminnallisuuden lisääminen tuossa muodossaan todellinen EPIC fail puhelinvalmistajien puolelta, sillä tuota ominaisuutta on voinut väärinkäyttää tähänkin mennessä kuka tahansa, joka on noita tunnisteita voinut luoda (esim. tiedustelupalvelut tai noissa firmoissa töissä olleet ihmiset).
Eli uutistoitu etähallintaohjelma on ihan aiheen vierestä ja varsinainen asia unohtunut.
Kiitos tarkennuksesta.
Mistä yhteisestä lähteestä toteutus on peräisin, jos kerran useat valmistajat on sen omaan toteutukseen ottaneet?
Onko jotkin operaattorit (välikätenä) sanoneet että tuollainen pitää olla. ?