maanantai 8. elokuuta 2016

QuadRooter huolestuttaa Android-käyttäjiä

Päivän tietoturvauutinen kertoo Android-puhelimista löydetystä haavoittuvuudesta (QuadRooter), joka saattaa vaarantaa jopa 900 miljoonan puhelimen tietoturvan. Bugien vuoksi haitallinen ohjelma pystyy ohittamaan käyttöjärjestelmän suojaukset ja pääsee ainakin teoriassa lukemaan valokuvia, yhteystietoja ym. vaikka käyttäjä ei antaisikaan niihin lupaa.

Haavoittuvuuden löytänyt CheckPoint on tehnyt QuadRooter Scanner -testiohjelman, jolla oman puhelimen tietoturva on helppo testata. Kokeilin puhelimia, joita sattui olemaan käden ulottuvilla ja tulos oli lohdullinen.

Samsung Galaxy S7 Edge: ei bugia.
Samsung Galaxy S6 Edge: ei bugia.
Samsung Galaxy S3-4G: ei bugia.
Sen sijaan kolme vuotta vanha LG G3 antoi varoituksen kaikista neljästä haavoittuvuudesta:

LG G3: kaikki neljä haavoittuvuutta.
Samsungien hyvä tulos on positiivinen yllätys, koska puhelimet ovat ylivoimaisia markkinajohtajia. Kansainvälisessä mediassa S7-malli mainitaan haavoittuvien listalla, mutta puhelimesta on kahta eri versiota: toisessa on Qualcommin Snapdragon (haavoittuva) ja toisessa Samsungin oma Exynos (turvallinen). Suomessa on myyty jälkimmäisiä, joissa haavoittuvuutta ei ole. USA:ssa myydään haavoittuvaa versiota.

Entä mitä tehdä, jos oma puhelin näyttää punaista? Ainoa keino on odottaa valmistajan omaa korjausta, eikä sitä välttämättä tule koskaan. Puhelinten elinkaari on niin lyhyt, etteivät valmistajat vaivaudu päivittämään vanhoja malleja lainkaan.

Itse en lähtisi vaihtamaan puhelinta, vaikkei päivitystä tulisikaan. QuadRooterin hyödyntäminen vaatii (ainakin nykytiedoilla) haitallisen sovelluksen lataamista puhelimeen. Haavoittuvuuden löytymisestä on vielä matkaa haittaohjelman ilmestymiseen, saati että lataisi sellaisen vahingossa Googlen Play-kaupasta omaan puhelimeen. On toki mahdollista, että joku ryhmä (NSA?) on tiennyt haavoittuvuudesta jo aiemmin ja hyödyntänyt sitä kaikessa hiljaisuudessa, mutta tavallisen käyttäjän riski on pieni.

Viime vuonna löydetty Stagefright oli tässä suhteessa vaarallisempi (tarkistusohjelma), koska sitä pystyi hyödyntämään uhrin puhelimeen lähetetyllä MMS-viestillä tai web-sivulle lisätyllä videoleikkeellä. QuadRooterin suhteen tällaisen ei pitäisi olla mahdollista.

Vanhojen puhelinten omistajien kannattaa olla jatkossa erityisen tarkkana lataamiensa sovellusten suhteen, eikä koskaan ladata niitä muualta kuin Googlen virallisesta kaupasta (muu lataus edellyttää turva-asetuksen muuttamista ja varoituksen kuittaamista, joten vahingossa sitä ei voi tehdä).

Netistä tulleiden suomalaisten palautteiden mukaan Samsungin malleista mm. Galaxy S5, Note 3 ja J5 ovat haavoittuvia. Kyse saattaa olla vain yhdestä haavoittuvuudesta, mutta sekin voi riittää.

Ilmoita oman puhelimesi tulos niin lisään sen listalle.

Suomessa haavoittuviksi havaittuja (found to be vulnerable in Finland):
- Samsung A3 (3 aukkoa)
- Samsung Galaxy S5 (4 aukkoa)
- Samsung Note 3
- Samsung Note 4 (3 aukkoa)
- Samsung J5 (3 aukkoa)
- Samsung S4 Active (4 aukkoa)
- Samsung S4 4G+ (4 aukkoa)
- Samsung S4 mini (4 aukkoa)
- Samsung Galaxy GT-S7560 (3 aukkoa)
- Sony Xperia Z3 Compact (4 aukkoa)
- Sony Xperia Z5 Compact (4 aukkoa)
- Sony Xperia M4 (4 aukkoa)
- Sony Xperia X (4 aukkoa)
- Sony Xperia X1 (4 aukkoa)
- Sony ZR (4 aukkoa)
- LG G2 (4 aukkoa)
- LG G3 (4 aukkoa)
- LG G4 (4 aukkoa)
- LG L65 (4 aukkoa)
- LG Nexus 5X (2 aukkoa)
- LG Nexus 5 (1 aukko)
- LG K 10
- Nexus 4 (3 aukkoa)
- Nexus 5 (1 aukko)
- Nexus 6p (1 aukko)
- HTC Desire 610 (4 aukkoa)
- Moto 4G Plus (3 aukkoa)
- Moto X Style (4 aukkoa)
- Moto X Play (4 aukkoa)
- Jolla (Sailfish 2.0.2.48, ilmeisesti Android-tuella? 4 aukkoa)
- OnePlus 1 (3 aukkoa)
- OnePlus 2 (4 aukkoa)
- OnePlus 3 (3 aukkoa)
- Huawei Nexus 6P (2 aukkoa)
- Moto X Style (4 aukkoa)
- Moto G Dual SIM (4 aukkoa)
- Marshall London (4 aukkoa)
- HTC One (4 aukkoa)
- CAT S40 (4 aukkoa)

Testi antanut puhtaan tuloksen (none of the four vulnerabilities found):
- Samsung S7
- Samsung S6
- Samsung S5 Neo
- Samsung S3-4G
- Samsung Galaxy Nexus
- Samsung Galaxy Trend Plus
- Samsung Galaxy A3
- Samsung Galaxy Tab 3
- Samsung Galaxy Tab 4
- Huawei Honor 6
- Huawei Honor 7
- Huawei Honor 4X
- Huawei P9
- Sony Xperia XA

Vanhan kaavan mukaan media liioittelee ("nyt ei kenenkään puhelin ole täysin turvallinen"), joten haavoittuvan puhelimen omistajan kannattaa lukea tämä Androidcentralin juttu ja seurata tilannetta.

Lisäys 10.8.2016: Googlen mielestä riskiä on suuresti liioiteltu. Tosin Verify Apps ei nähdäkseni ole mikään patenttilääke: se estää kyllä tunnistettujen haitallisten ohjelmien käytön, mutta ei pysty estämään varsinaisen turva-aukon käyttöä. 

41 kommenttia:

  1. Testasin oman puhelimeni eli Sony Xperia Z5 Compact ja 4 aukkoa löytyi...

    VastaaPoista
  2. Nexus 5 (elokuun turvapaketti asennettu): CVE-2016-5340 haavoittuvuus, ei muita ongelmia.

    VastaaPoista
  3. Kirjoittaja on poistanut tämän kommentin.

    VastaaPoista
  4. HTC Desire 610 (Android 4.4.2): 4 haavoittuvuutta

    VastaaPoista
  5. Moto 4G Plus, 3 haavoittuvuutta.

    VastaaPoista
  6. Jolla, SailfishOS 2.0.2.48, 4 haavoittuvuutta.

    VastaaPoista
  7. Marshall London, Android 5.0.2. 4 haavoittuvuutta (CVE-2016-2059, CVE-2016-2504, CVE-2016-2503, CVE-2016-5340)

    VastaaPoista
  8. Samsung Galaxy Trend Plus (Android 4.2.2), ei haavoittuvuutta

    VastaaPoista
  9. Note 4 marshmallow, 3 haavoittuvuutta

    VastaaPoista
  10. Motorola Moto X Style altis. 4 reikää.

    VastaaPoista
  11. Samsung Galaxy S4 mini neljä haavoittuvuutta

    VastaaPoista
  12. Samsung Galaxy A3, ei haavoittuvuutta.

    VastaaPoista
    Vastaukset
    1. Minun A3, 3 haavoittuvuutta...

      Poista
  13. Sony Xperia M4 aqua mallinro E2303, 4 reikää

    VastaaPoista
  14. Moro, moto x play löysi 4 aukkoa.

    VastaaPoista
  15. Nexus 6p tuli päivitys joka korjasi yhden reiän. Vielä on jäljellä CVE-2016-5340

    VastaaPoista
  16. Sony Xperia XA, ei haavoittuvuuksia.

    VastaaPoista
  17. Oneplus one, 3 aukkoa

    VastaaPoista
  18. Sony ZR: 4 aukkoa.

    VastaaPoista
  19. Samsung S4 Active GT-19295
    Minun puhelimessani oli neljä haavoittuvuutta:
    CVE-2016-2059
    CVE-2016-2504
    CVE-2016-2503
    CVE-2016-5340

    VastaaPoista
  20. LG G2: 4 aukkoa.

    VastaaPoista
  21. Samsung Galaxy TAB 3 8.0 SM-T315: ei haavoittuvuutta

    VastaaPoista
  22. Sony Xperia X, 4 aukkoa

    VastaaPoista
  23. Huawei Honor 4X Che2-L11, Android 5.1.1, ei haavoittuvuutta

    VastaaPoista
  24. Näiden turva-aukkojen hyödyntäminen taitaa olla helpointa tekemällä ohjelmisto, joka testaa onko reikä olemassa..

    VastaaPoista
  25. Samsung Galaxy J5 (Android 5.1.1, viimeisintä päivitystä ei vielä asennettu): 4 aukkoa.

    VastaaPoista
  26. Nexus 4, 3 haavoittuvuutta (...2504, 2503 ja 5340), Android 5.1.1 (LMY48T)

    VastaaPoista
  27. Sony Xperia Z3+ 4 aukkoa

    VastaaPoista
  28. Sony Xperia Z1 Compact, 4 aukkoa

    VastaaPoista
  29. Motorola Moto G Dual SIM (2nd gen), Android 6.0, Tietoturvakorjaus 1.1.2016: 4 aukkoa

    VastaaPoista
  30. CAT S40, 4 haavoittuvuutta, Android 5.1, tietoturvakorjaus 2016-05-01

    VastaaPoista
  31. Samsung Galaxy Tab 4, 7" ja 8" (LTE-tablet-puhelin) 0 aukkoa

    VastaaPoista
  32. Samsung A3, 3 haavoittuvuutta

    VastaaPoista
  33. SAMSUNG CALAXY TAB PRO 12.2 kaikki 4 kpl
    Samsung Calaxy 2014 Edition kaikki 4 kpl
    Vanhemmat Sammy-puhelimet Young 2 ja S3 3G molemmat 0 kpl

    VastaaPoista
  34. LG Spirit 4G neljä haavoittuvuutta. HP Slate Voicetab 7 Ultra ei haavoittuvuuksia.

    VastaaPoista
  35. Ja keskustelupalstoilla hyvin yleinen toteamus oli monien vuosien ajan: Lumia ja WP on täyspaskoja ja reikäisiä.

    VastaaPoista
  36. Samsung Galaxy S5 (SM-G900F), 4 aukkoa

    VastaaPoista
  37. Sony Xperia Z1 Compact (CVE-2016-2059),(CVE-2016-2504) haavoittuvuudet.

    VastaaPoista