torstai 18. heinäkuuta 2013

Androidille julkaistu kolmannen osapuolen tietoturvapäivitys, korjaa kriittisen turva-aukon

Erittäin vakava Android aukko uhkaa laitteen sovelluksia. Laitevalmistajat hitaita korjauspäivityksen jakamisessa.

Normaalisti mobiililaitteisiin ei julkaista erillisiä tietoturvapäivityksiä kolmannen osapuolen kautta vaan päivitykset tulevat laitevalmistajalta ja operaattorilta niin sanottuna OTA-päivityksenä.

Tässä tapauksessa asiansa vakavasti ottaneet asiantuntijat päättivät tarjota korjauksen itse.

Bluebox Security löysi parisen viikkoa sitten vakavan turva-aukon Android käyttöjärjestelmästä joka liittyy laitteeseen ladattavien ohjelmien aitouden tarkistustoimenpiteisiin.

Mistä tietoturva-aukossa on kyse?

Jokainen sovellus saa uniikin tarkistuskoodin jolla puhelin tarkistaa että kyseessä on ohjelma joka sen väitetään olevan vertaamalla sitä ensimmäisen asennuksen jälkeen saatuun koodiin kun sovellus jostain syystä muuttuu, muuttuu myös koodi ja järjestelmä estää sovellusta toimimasta, tai näin ainakin järjestelmän pitäisi toimia. Turva-aukon ansiosta tähän väliin voidaan kuitenkin puuttua niin että ohjelman sisältö voi olla eri mutta koodi pysyy samana, tämä taas mahdollistaa ohjelmien kaappauksen kuten esimerkiksi lisäämällä asennettuihin ohjelmiin haitallisia soitto-ohjelmia jotka soittelevat maksullisiin puhelinnumeroihin tai lähettävät tekstiviestejä, kaappaavat tilitietoja tai tekevät muuta haitallista, ilman että järjestelmä havaitsee mitään.

Toki Androidille on olemassa erilaisia tietoturvasovelluksia jotka mahdollisesti tunnistavat haitallisen koodin mutta näitä sovelluksia ei ole läheskään kaikissa laitteissa. Aukko on ollut olemassa jo Androidin 1.6 versiosta lähtien, joten haavoittuneita laitteita on maailmalla jopa 900 miljoonaa ja joista vanhimpiin ei korjausta ehkä koskaan tarjota laitevalmistajan kautta.

BlueBox raportoi löydöksestä Googlelle ja se teki tarvittavat korjaustoimenpiteet käyttöjärjestelmän koodiin ja laittoi sen jakoon.

Päivitys Play Storessa:

Tietoturva-asiantuntijat Duo Securityssä sekä NEUn SecLabissa seurasi kuinka nopeasti laitevalmistajat ovat ottaneet Googlen tarjoaman korjauksen vastaan ja lähettäneet sen laitteisiinsa, he huomasivat että päivitys ei ole kiinnostanut riittävästi ja päätti toimia. Asiantuntijat julkaisivat Googlen Play-sovelluskaupassa oman päivityksen jolla tietoturva-aukon voi korjata.

Korjaus ei kuitenkaan ole kovin yksinkertainen sillä se vaatii laitteen olevan rootattu, eli jossa  tiettyjä turvaominaisuuksia  on kytketty laitteen ohjelmistosta pois ja sitä voi käyttää niin sanotussa pääkäyttäjätilassa jolloin muun muassa sen systeemimuistiin voi kirjoittaa. Fixi vaatii myös vähintään Android 2.0 –tai uudemman version korjattavan laitteen käyttöjärjestelmästä.

Kuinka edetä?

Roottaus ei aina ole kovin yksinkertaista ja sitä ei yleisesti suositella, eikä peruskäyttäjän yleensä sitä tarvitse tehdä. Heillä joille roottaus on tehty, kannattaa ohjelmisto (ReKey) ajaa sisään ja tarkistaa onko päivitys tarpeellinen, muiden suositellaan edelleen odottavan laitevalmistajan julkaisemaa päivitystä.

Jos laitevalmistajan päivitys ei näytä tulevan OTA:n (over-the-air) kautta, kannattaa tuolloin hakea valmistajan tekemä hallintasovellus tietokoneelle ja tarkistaa jos päivityksen saisi sitä kautta.

LÄHDE: ZDNet