Viestintävirasto varoittaa Android-laitteissa havaituista haavoittuvuuksista

Yhdysvaltalaisyrityksen tietojen mukaan haavoittuvuudet koskevat lähes kaikkia Android-laitteita. Sen mukaan multimediaviesteihin liittyvän haavoittuvuuden avulla olisi mahdollista ajaa laitteeseen haittaohjelma käyttäjän huomaamatta. Viestintäviraston tietoturva-asiantuntija kertoo, ettei haavoittuvuuksia mahdollisesti hyödyntäviä haittaohjelmia ole havaittu.

tekniikka
Nainen kokeilee uutta Samsung Galaxy Note 4 -puhelinta Bangkokin messuilla 13. lokakuuta 2014.
Nainen kokeilee uutta Samsung Galaxy Note 4 -puhelinta Bangkokin messuilla 13. lokakuuta 2014.Narong Sangkak / EPA

Viestintävirasto varoittaa Android-laitteiden tietoturvaa mahdollisesti heikentävistä haavoittuvuuksista. Virasto kertoo yhdysvaltalaisen tietoturvayhtiö Zimperiumin esittelevän ensi viikolla tietoturvakonferenssissa haavoittuvuuksia, joiden kautta on mahdollista ujuttaa haittakoodi Googlen kehittämää Android-käyttöjärjestelmää käyttäviin laitteisiin.

Haavoittuvuudet ovat Android-käyttöjärjestelmän ytimessä olevassa Stagefright-nimisessä kirjastossa. Se vastaa esimerkiksi mediatiedostojen käsittelystä. Samat haavoittuvuudet ovat olleet ilmeisesti jo järjestelmän 2.2.-versiossa ja ne löytyvät myös tuoreimmasta, 5.1.1.-versiosta. 95 prosenttia Android-puhelimista käyttää näitä versioita.

Tietoturva-asiantuntija Antti Kurittu Viestintäviraston Kyberturvallisuuskeskuksesta kertoo, että on liian aikaista sanoa, kuinka haavoittuvuuksia voisi käyttää hyväkseen.

– Vielä ei ole tietoa, että näin olisi tehty. Ei ole olemassa haittaohjelmaa, joka käyttäisi niitä hyväkseen, Kurittu kertoo.

Jos huolestuit, älä käytä multimediaviestejä

Zimperium nostaa esille haavoittuvuuden liittyen multimedia- eli MMS-viesteihin. Yhtiön mukaan on mahdollista, että mediakirjasto tutkii saapuvan kuvan ja ajaa samalla haitallisen koodin. Se estäisi ilmoituksen, joka kertoisi käyttäjälle saapuneesta kuvasta. Haittaohjelma voisi poistaa kuvan ja jäädä laitteen muistiin ajamaan itseään.

– Näin käyttäjä ei huomaisi koko haittaohjelmaa, Kurittu huomauttaa.

Hänen mukaansa tässä vaiheessa tavallisilla ihmisillä ei ole kuitenkaan syytä huoleen. Joka tapauksessa puhelimen käyttäjä voi muokata MMS-asetuksia siten, ettei hän lähetä eikä vastanota MMS-viestejä.

Kun tietoturvatutkijat löytävät haavoittuvuuksia, osa tutkimusta on selvittää, kuinka niitä voi käyttää hyväkseen. Näin on tässäkin tapauksessa tehty laboratorio-olosuhteissa.

– Yhdistettyinä joihinkin muihin tunnettuihin, korjaamattomiin haavoittuvuuksiin on mahdollista ajaa puhelimessa järjestelmänvalvojan oikeuksilla ohjelmakoodia eli tehdä oikeastaan mitä tahansa, Kurittu antaa esimerkin.

Tietoturvaominaisuuksiltaan vahvennettua Blackphone-puhelinta valmistava Silent Circle on jo toimittanut korjaukset. Isoilta valmistajilta, kuten Samsungilta, ei Kuritun mukaan ole vielä tullut tietoa päivityksistä.