maanantai 10. elokuuta 2015

Androidiin helpompi hyökätä: Certifi-gate

Androidista on löydetty merkittävä tietoturva-aukko jonka avulla haitallinen sovellus voi ilmoittaa olevansa luotettava saaden järjestelmään täydet etäyhteysoikeudet.

Ongelma piilee Androidin etäohjaustoiminnossa joka on järjestelmään sisäänrakennettu, ongelma koskee siten suurinta osaa Android -laitteita. Tosin esimerkiksi useat Sonyn Android pohjaiset laitteet eivät hyödynnä tätä ominaisuutta ja ovat siten suojattuja tältä ongelmalta.

Hyökkääjä voi periaatteessa luoda sovelluksen joka esittää olevansa luotettava sovellus Androidin sisäänrakennetulle etätukiohjelmalle, joka antaa siten kyseiselle sovellukselle oikeuden etäyhteyteen täysillä käyttäjän oikeuksilla ja puhelin on siten hyökkääjän hallinnassa.

Sovellus voi toimia esimerkiksi pelin kylkiäisenä josta käyttäjä ei tiedä mitään vaan jatkaa pelin pelaamista.

Hyökkääjän ei siis tarvitse koodata omaa etäyhteysohjelmaa, tämä helpottaa hyökkääjän työtä ja lisää käyttäjien nuuskituksi tulemisen riskiä huomattavasti.

Kyse on kuitenkin perinteisestä etäyhteydestä ja siten järjestelmän käyttäjä näkee kaiken mitä hyökkääjä on tekemässä, yksinkertaisesti katsomalla ruutuun, jos siis puhelimesi ruudulla alkaa tapahtumaan kummia, on aika katkaista siitä virta, käynnistää parinkymmenen minuutin päästä uudelleen, sulkea kaikki dataliikenne ja sen jälkeen tyhjentää puhelin.

Etäyhteyden ollessa päällä, myös hyökkääjä näkee kaiken mitä laitteen käyttäjä tekee, eikä tästä tule mitään ilmoitusta käyttäjälle, käyttäjä ei siis voi tietää välttämättä olevansa urkinnan alaisena.

Muutamia kauhuskenaarioita:

Hyökkääjä on saattanut valmistaa omasta etäyhteysohjelmastaan pikanäppäimillä varustetun version, näin hyökkääjä voi aktivoida nopeastikin esimerkiksi kameran tai mitä tahansa muita sovelluksia ja toimintoja käyttäjän, tai uhrin puhelimesta, öiseen aikaan hyökkääjä voi käydä lataamassa puhelimeen muita haittaohjelmia ja alkaa takomaan sillä rahaa vaikka valjastamalla laite roskapostinlähettäjäksi tai osaksi bottiverkostoa joka tekee kaikkea mahdollista, mahdollisuudet on periaatteessa loputtomat.

Tarkista oma Android laitteesi pian:

On siis tiedossa että aukko koskee miljoonia laitteita mutta oman puhelimensa tai muun Android laitteen voi tutkia aukon löytäjän, Check Pointin luomalla sovelluksella joka on ladattavissa ilmaiseksi Google Play Store sovelluskaupasta.

Check Point on kertonut löydöstään blogissaan johon on myös lisätty video jossa haavoittuvuutta esitellään käytännössä.

Päivityksiä yritetään saada eteenpäin:

Ongelmaan on herätty niin Googlella, etäyhteysohjelmien keskuudessa kuin myös puhelinvalmistajien kohdalla ja osittaisia päivityksiä ongelman korjaamiseksi on yritetty saada liikenteeseen, hidasteena kuitenkin on se että päivitystiedosto ei ole helposti asennettavissa esimerkiksi Play Storen kautta vaan puhelimeen tarvitsee ladata koko käyttöjärjestelmä uudelleen, tämän vuoksi päivitys saattaa jäädä saamatta varsinkin vanhempiin puhelinmalleihin joka taas tarkoittaa sitä että aukko tulee olemaan hyödynnettävissä edelleen miljoonissa laitteissa.

Torstaina uutisoitiin kuitenkin siitä että puhelinvalmistajat ovat halukkaita tuomaan päivityksiä puhelimiin entistä useammin, nähtäväksi jääkin tuleeko Certifi-gate saamaan päivitystä näissä merkeissä.

Kuinka suojautua?

Tältä aukolta ei toistaiseksi pysty suojautumaan ennen kuin päivitys saapuu laitteellesi mutta seuraa seuraavia vinkkejä niin voit selvitä ilman vakoilua.

  • Hyökkääjän on edelleen saatava oma ohjelmansa laitteeseen, tämä onnistuu yleensä huijaamalla käyttäjä asentamaan esimerkiksi ilmaisena esitelty huippupelin asennustiedosto (APK) joltakin epämääräiseltä verkkosivulta. Älä siis usko näihin, maksullinen kun ei ole ilmainen.
  • Kun lataat ohjelmia sovelluskaupasta, varmista sovelluskaupan luotettavuus, jos jokainen sieltä ladattu ohjelma pyytää muuttamaan Androidin suojausasetuksia ennen asennusta, jätä yksinkertaisesti ohjelma lataamatta ja poista myös kyseinen sovelluskauppa puhelimestasi.
  • Käytä siis vain turvallisia sovelluskauppoja, Google Play Store on ehkä turvallisin vaihtoehto tällä hetkellä, vaikka sinnekin ikävä kyllä pääsee liiankin usein luikertelemaan kaikenlaisia öttiäisiä.

Ole erityisen tarkkana siitä mitä olet lataamassa, tarkista että sovelluksen tekijä on varmasti aito:

  • Google Play Storessa on usein jaettu huijausversioita ohjelmista jotka sisältävät todellisuudessa haittaohjelmia, nämä on kuitenkin tunnistettu huijauksiksi usein yksinkertaisesti kehittäjän nimen perusteella, on melko varmaa että esimerkiksi aitoa Facebook sovellusta jakaa Google Playssa vain Facebook, eikä esimerkiksi Jorma Lerppu AB.

LÄHDE: Digitoday