tietoturva-aukko

Android-laitteiden tietoturva paranee: Google, LG ja Samsung lupaavat päivityksiä joka kuukausi

Googlen kehittämän Android-käyttöjärjestelmän tietoturva on viimeisen reilun viikon aikana ollut jälleen kiivaasti esillä. Kaikki juontaa juurensa Stagefright-nimellä kutsuttuun haavoittuvuuteen, joka mahdollistaa Android-laitteen kaappaamisen MMS-viestillä, joka sisältää multimediasisältöä. Pahimmassa tapauksessa käyttäjän ei edes tarvitse avata esimerkiksi saapunutta videotiedostoa, kun laite on jo saastunut. Useat valmistajat ovatkin jo ilmoittaneet työstävänsä korjauspäivitystä, mutta on pelko, että vanhempien laitteiden omistajat jäävät niiden ulkopuolelle. Joka tapauksessa haavoittuvuus on saanut pahan lisäksi myös aikaan paljon hyvää ja Androidin tietoturvaan tullaan jatkossa kiinnittämään entistäkin enemmän huomiota. Miten? Joka kuukausi julkaistavilla tietoturvapäivityksillä.

Sony Xperia Z liittyi haavoittuvaisten joukkoon: pääsykoodin kierto helppoa

Luulitko, että lukitusruudulle määrittelemäsi salasana on varma tapa suojata puhelimen sisältö vierailta henkilöiltä? Mieti uudelleen. Olemme nähneet jo kuinka muun muassa iPhonen ja Galaxy S III:n pääsykoodi on helposti ohitettavissa. Nyt mukaan kuoroon liittyy japanilaisen Sonyn lippulaivamalli, Xperia Z.

Herra nimeltään Scott Reed on julkaissut lyhyen videon, jossa hän osoittaa, kuinka helposti Xperia Z:n pääsykoodi on mahdollista ohittaa. Tälläkin kertaa murto tapahtuu hätäpuheluita varten olevan numeronäppäimistön kautta. Sen avulla näppäillään koodisarja, jonka kautta päästään käsiksi laitteen asetuksiin. Tästä muutamalla oikealla näpäytyksellä voidaan loikata kotinäkymään ilman pääsykoodia.

Suomessakin jo myynnissä oleva Xperia Z esiteltiin maailmalle tammikuussa. Se on vettä ja iskuja kestävä Android 4.1 -pohjainen lippulaiva, jonka etu- ja takapuolta peittää lasi. Puhelimessa on muun muassa viiden tuuman full hd -kosketusnäyttö ja 13 megapikselin Sony Exmor RS -kamera.

Samsung korjasi Galaxy S III:n tietoturva-aukon, päivitä puhelin

Uutisoimme eilen Samsungin Galaxy-sarjan puhelimista löytyneestä vakavasta tietoturva-aukosta. Kyseinen haavoittuvuus mahdollistaa puhelimen tehdasasetuksien palauttamisen ja näin koko laitteen sisällön pyyhkimisen yksinkertaisen USSD-koodin kautta, joka voidaan upottaa esimerkiksi verkkosivustolle.

Saimme juuri Samsungin virallisen lausunnon sähköpostiimme ja ainakin Galaxy S III:n osalta ongelman pitäisi korjaantua päivittämällä puhelin tuoreimpaan ohjelmistoversioon. Alla Samsungin virallinen kannanotto asiaan:

Galaxy S III -älypuhelimeen kohdistunut tietoturvariski on korjattu tuoreimmassa ohjelmistopäivityksessä. Suosittelemme käyttäjiä lataamaan uusimman ohjelmistoversion OTA-päivityksen kautta suoraan puhelimeen. Päivitys onnistuu helposti: Asetukset -> Tietoja laitteesta -> Ohjelmistopäivitys -> Päivitä.

Useissa Samsungin Galaxy-puhelimissa vakava tietoturva-aukko

Korealaisen Samsungin Android-pohjaisista puhelimista on löytynyt erittäin vakava tietoturva-aukko. Ekoparty-tietoturvatapahtumassa Ravi Borgaonkarin demoama haavoittuvuus vaarantaa käyttäjän koko puhelimen sisällön, sillä yksinkertaiseksi kuvaillulla USSD-koodilla puhelimeen voidaan suorittaa niin sanottu tehdasasetusten palautus. Tämä tuhoaa käyttäjän henkilökohtaiset tiedot palauttaen puhelimen alkuperäiseen tilaan.

Haittakoodi on mahdollista levittää puhelimiin esimerkiksi verkkosivuston tai NFC:n kautta. Alustavien tietojen mukaan ainakin seuraavat mallit sisältävät haavoittuvuuden: Galaxy S III, Galaxy Beam, Galaxy S Advance, Galaxy Ace ja Galaxy S II. Havaintojen perusteella vaikuttaisi siltä, että aukko on jollain tapaa liitoksissa Samsungin TouchWiz-käyttöliittymään.

Haavoittuvuutta hyödyntäviin sivustoihin törmääminen lienee ainakin tässä vaiheessa hyvin epätodennäköistä. Kun puhelintaan käyttää vain tunnetuilla sivuilla, ovat käyttäjän tiedot turvassa. Samalla kannattaa välttää epäilyttävien tiedostojen latailua ja viestien availua.

Lähde: SlashGear

iPhonen haavoittuvuus päästää hyökkääjät käyttäjän tekstiviesteihin

Applen iPhonesta on löydetty haavoittuvuus, jonka avulla hyökkääjät pääsevät käsiksi käyttäjän tekstiviesteihin. Vakavan tietoturva-aukon havaitsivat Vincenzo Iozzo ja Ralf Philipp Weinmann, jotka osoittivat sen toimivuuden osana Pwn2Own 2010 -kilpailua. Herrat voittivat löydöksellään mukavan 15 000 dollarin palkinnon.

Haavoittuvuus sijaitsee iPhonen Safari-selaimessa. Sen avulla puhelimen saapuneet, lähetetyt ja poistetut tekstiviestit voidaan kaapata houkuttelemalla käyttäjä saastuneelle verkkosivustolle. Koko tietokannan murtamiseen kuluu aikaa ainoastaan parikymmentä sekuntia, jolloin tiedot lähetetään hyökkääjän hallitsemalle serverille.

Kaikkiaan murto-operaation toteuttamiseen kului aikaa kaksi viikkoa, kertoo Weinmann. Tekstiviestien lisäksi tekniikkaa voitaisiin hyödyntää myös muiden henkilökohtaisten tietojen varastamiseen puhelimesta. Pahimmillaan hyökkääjät voisivat päästä käsiksi käyttäjän sähköposteihin, kuviin, yhteystietoihin ja iTunes-musiikkikirjastoon.

Haavoittuvuuden vakavuudesta huolimatta käyttäjät voivat osaltaan huokaista helpotuksesta, sillä sen tietoja ei tulla paljastamaan julkisuuteen. Asiasta tehdään yksityiskohtainen selvitys Applelle, joka toivottavasti paikkaa aukon seuraavassa ohjelmistopäivityksessä.

Lähde: ZDNet