maanantai 19. lokakuuta 2015

Ubuntun mobiiliversion sovelluskauppaan pääsi vilahtamaan "haittaohjelma"

Yksi Ubuntu Phonea käyttävä älypuhelin: BQ Aquaris E5 HDCanonicalin ylläpitämä Ubuntu -käyttöjärjestelmän mobiiliversio on yksi vaihtoehtoinen mobiilikäyttöjärjestelmä, se on saanut paljon huomiota vaikka luureja ei ihan jokaiselle vielä pystytä myymäänkään, ensimmäinen vakavampi tietoturvaan liittyvä bugi sille ilmestyi kuitenkin viime viikolla.

Puhelimen  sovelluskauppaan nimittäin pääsi ujuttautumaan sovellus joka pystyi saamaan itselleen käyttöjärjestelmän pääkäyttäjän (root) oikeudet, käyttäen hyväksi Ubuntun sovellusasennustoiminnosta löytynyttä tuntematonta haavoittuvuutta.

Sovelluskaupasta löytyi ohjelma nimeltä test.mmrow josta haavoittuvuutta hyödyntävä toiminto löytyi. Kun käyttäjä avasi ohjelman ladattuaan ja asennettuaan sen, ilmestyi ruutuun painike "Tap me!" jota painamalla käyttäjä käynnisti sovelluksessa skriptin joka mahdollisti ohjelman toimivan pääkäyttäjän oikeuksin.

Ohjelma ei siis toiminut missään vaiheessa automaattisesti siten että olisi saanut oikeudet ilman käyttäjän toimia, ilmeisesti mitään vaaraa ei lopulta aiheutunut käyttäjille jotka ohjelman olivat ladanneet, niitä oli yhteensä 15  joista muutama oli Canonicalin omia tutkijoita.

Ohjelmien ei silti pitäisi saada pääkäyttäjän oikeuksia, sillä niiden on tarkoitus toimia hyvin suojatussa, niin sanotussa hiekkalaatikossa josta ei pitäisi päästä järjestelmän kriittisiin tiedostoihin käsiksi saatikka muuttamaan niitä.

Canonical sulki tapauksen johdosta sovelluskauppansa hetkeksi minkä aikana se poisti test-mmrow ohjelman valikoimasta, päivitti kaupan turvallisuusasetuksia ja skannasi vielä kaikki sovelluskaupasta saatavilla olevat ohjelmat ettei niistä löydy samaa haavoittuvuutta hyödyntävää koodia.

Canonical otti myös yhteyttä kaikkiin sovelluksen ladanneisiin asiakkaisiin ja kertoi että heidän on parempi poistaa sovellus puhelimistaan.

Sovelluskauppa toimii nyt ongelmitta, eikä kyseinen virhe koske muita Ubuntun versioita kuin vain Ubuntu Mobilea.

Canonical selvittää tapausta Ubuntun kehittäjäblogissa.

LÄHDE: Ubuntu