Päivän tietoturvauutinen kertoo Android-puhelimista löydetystä haavoittuvuudesta (QuadRooter), joka saattaa vaarantaa jopa 900 miljoonan puhelimen tietoturvan. Bugien vuoksi haitallinen ohjelma pystyy ohittamaan käyttöjärjestelmän suojaukset ja pääsee ainakin teoriassa lukemaan valokuvia, yhteystietoja ym. vaikka käyttäjä ei antaisikaan niihin lupaa.
Haavoittuvuuden löytänyt CheckPoint on tehnyt QuadRooter Scanner -testiohjelman, jolla oman puhelimen tietoturva on helppo testata. Kokeilin puhelimia, joita sattui olemaan käden ulottuvilla ja tulos oli lohdullinen.
Sen sijaan kolme vuotta vanha LG G3 antoi varoituksen kaikista neljästä haavoittuvuudesta:
Samsungien hyvä tulos on positiivinen yllätys, koska puhelimet ovat ylivoimaisia markkinajohtajia. Kansainvälisessä mediassa S7-malli mainitaan haavoittuvien listalla, mutta puhelimesta on kahta eri versiota: toisessa on Qualcommin Snapdragon (haavoittuva) ja toisessa Samsungin oma Exynos (turvallinen). Suomessa on myyty jälkimmäisiä, joissa haavoittuvuutta ei ole. USA:ssa myydään haavoittuvaa versiota.
Entä mitä tehdä, jos oma puhelin näyttää punaista? Ainoa keino on odottaa valmistajan omaa korjausta, eikä sitä välttämättä tule koskaan. Puhelinten elinkaari on niin lyhyt, etteivät valmistajat vaivaudu päivittämään vanhoja malleja lainkaan.
Itse en lähtisi vaihtamaan puhelinta, vaikkei päivitystä tulisikaan. QuadRooterin hyödyntäminen vaatii (ainakin nykytiedoilla) haitallisen sovelluksen lataamista puhelimeen. Haavoittuvuuden löytymisestä on vielä matkaa haittaohjelman ilmestymiseen, saati että lataisi sellaisen vahingossa Googlen Play-kaupasta omaan puhelimeen. On toki mahdollista, että joku ryhmä (NSA?) on tiennyt haavoittuvuudesta jo aiemmin ja hyödyntänyt sitä kaikessa hiljaisuudessa, mutta tavallisen käyttäjän riski on pieni.
Viime vuonna löydetty Stagefright oli tässä suhteessa vaarallisempi (tarkistusohjelma), koska sitä pystyi hyödyntämään uhrin puhelimeen lähetetyllä MMS-viestillä tai web-sivulle lisätyllä videoleikkeellä. QuadRooterin suhteen tällaisen ei pitäisi olla mahdollista.
Vanhojen puhelinten omistajien kannattaa olla jatkossa erityisen tarkkana lataamiensa sovellusten suhteen, eikä koskaan ladata niitä muualta kuin Googlen virallisesta kaupasta (muu lataus edellyttää turva-asetuksen muuttamista ja varoituksen kuittaamista, joten vahingossa sitä ei voi tehdä).
Netistä tulleiden suomalaisten palautteiden mukaan Samsungin malleista mm. Galaxy S5, Note 3 ja J5 ovat haavoittuvia. Kyse saattaa olla vain yhdestä haavoittuvuudesta, mutta sekin voi riittää.
Ilmoita oman puhelimesi tulos niin lisään sen listalle.
Suomessa haavoittuviksi havaittuja (found to be vulnerable in Finland):
- Samsung A3 (3 aukkoa)
- Samsung Galaxy S5 (4 aukkoa)
- Samsung Note 3
- Samsung Note 4 (3 aukkoa)
- Samsung J5 (3 aukkoa)
- Samsung S4 Active (4 aukkoa)
- Samsung S4 4G+ (4 aukkoa)
- Samsung S4 mini (4 aukkoa)
- Samsung Galaxy GT-S7560 (3 aukkoa)
- Sony Xperia Z3 Compact (4 aukkoa)
- Sony Xperia Z5 Compact (4 aukkoa)
- Sony Xperia M4 (4 aukkoa)
- Sony Xperia X (4 aukkoa)
- Sony Xperia X1 (4 aukkoa)
- Sony ZR (4 aukkoa)
- LG G2 (4 aukkoa)
- LG G3 (4 aukkoa)
- LG G4 (4 aukkoa)
- LG L65 (4 aukkoa)
- LG Nexus 5X (2 aukkoa)
- LG Nexus 5 (1 aukko)
- LG K 10
- Nexus 4 (3 aukkoa)
- Nexus 5 (1 aukko)
- Nexus 6p (1 aukko)
- HTC Desire 610 (4 aukkoa)
- Moto 4G Plus (3 aukkoa)
- Moto X Style (4 aukkoa)
- Moto X Play (4 aukkoa)
- Jolla (Sailfish 2.0.2.48, ilmeisesti Android-tuella? 4 aukkoa)
- OnePlus 1 (3 aukkoa)
- OnePlus 2 (4 aukkoa)
- OnePlus 3 (3 aukkoa)
- Huawei Nexus 6P (2 aukkoa)
- Moto X Style (4 aukkoa)
- Moto G Dual SIM (4 aukkoa)
- Marshall London (4 aukkoa)
- HTC One (4 aukkoa)
- CAT S40 (4 aukkoa)
Testi antanut puhtaan tuloksen (none of the four vulnerabilities found):
- Samsung S7
- Samsung S6
- Samsung S5 Neo
- Samsung S3-4G
- Samsung Galaxy Nexus
- Samsung Galaxy Trend Plus
- Samsung Galaxy A3
- Samsung Galaxy Tab 3
- Samsung Galaxy Tab 4
- Huawei Honor 6
- Huawei Honor 7
- Huawei Honor 4X
- Huawei P9
- Sony Xperia XA
Vanhan kaavan mukaan media liioittelee ("nyt ei kenenkään puhelin ole täysin turvallinen"), joten haavoittuvan puhelimen omistajan kannattaa lukea tämä Androidcentralin juttu ja seurata tilannetta.
Lisäys 10.8.2016: Googlen mielestä riskiä on suuresti liioiteltu. Tosin Verify Apps ei nähdäkseni ole mikään patenttilääke: se estää kyllä tunnistettujen haitallisten ohjelmien käytön, mutta ei pysty estämään varsinaisen turva-aukon käyttöä.
Haavoittuvuuden löytänyt CheckPoint on tehnyt QuadRooter Scanner -testiohjelman, jolla oman puhelimen tietoturva on helppo testata. Kokeilin puhelimia, joita sattui olemaan käden ulottuvilla ja tulos oli lohdullinen.
 |
| Samsung Galaxy S7 Edge: ei bugia. |
 |
| Samsung Galaxy S6 Edge: ei bugia. |
 |
| Samsung Galaxy S3-4G: ei bugia. |
 |
| LG G3: kaikki neljä haavoittuvuutta. |
Entä mitä tehdä, jos oma puhelin näyttää punaista? Ainoa keino on odottaa valmistajan omaa korjausta, eikä sitä välttämättä tule koskaan. Puhelinten elinkaari on niin lyhyt, etteivät valmistajat vaivaudu päivittämään vanhoja malleja lainkaan.
Itse en lähtisi vaihtamaan puhelinta, vaikkei päivitystä tulisikaan. QuadRooterin hyödyntäminen vaatii (ainakin nykytiedoilla) haitallisen sovelluksen lataamista puhelimeen. Haavoittuvuuden löytymisestä on vielä matkaa haittaohjelman ilmestymiseen, saati että lataisi sellaisen vahingossa Googlen Play-kaupasta omaan puhelimeen. On toki mahdollista, että joku ryhmä (NSA?) on tiennyt haavoittuvuudesta jo aiemmin ja hyödyntänyt sitä kaikessa hiljaisuudessa, mutta tavallisen käyttäjän riski on pieni.
Viime vuonna löydetty Stagefright oli tässä suhteessa vaarallisempi (tarkistusohjelma), koska sitä pystyi hyödyntämään uhrin puhelimeen lähetetyllä MMS-viestillä tai web-sivulle lisätyllä videoleikkeellä. QuadRooterin suhteen tällaisen ei pitäisi olla mahdollista.
Vanhojen puhelinten omistajien kannattaa olla jatkossa erityisen tarkkana lataamiensa sovellusten suhteen, eikä koskaan ladata niitä muualta kuin Googlen virallisesta kaupasta (muu lataus edellyttää turva-asetuksen muuttamista ja varoituksen kuittaamista, joten vahingossa sitä ei voi tehdä).
Netistä tulleiden suomalaisten palautteiden mukaan Samsungin malleista mm. Galaxy S5, Note 3 ja J5 ovat haavoittuvia. Kyse saattaa olla vain yhdestä haavoittuvuudesta, mutta sekin voi riittää.
Ilmoita oman puhelimesi tulos niin lisään sen listalle.
Suomessa haavoittuviksi havaittuja (found to be vulnerable in Finland):
- Samsung A3 (3 aukkoa)
- Samsung Galaxy S5 (4 aukkoa)
- Samsung Note 3
- Samsung Note 4 (3 aukkoa)
- Samsung J5 (3 aukkoa)
- Samsung S4 Active (4 aukkoa)
- Samsung S4 4G+ (4 aukkoa)
- Samsung S4 mini (4 aukkoa)
- Samsung Galaxy GT-S7560 (3 aukkoa)
- Sony Xperia Z3 Compact (4 aukkoa)
- Sony Xperia Z5 Compact (4 aukkoa)
- Sony Xperia M4 (4 aukkoa)
- Sony Xperia X (4 aukkoa)
- Sony Xperia X1 (4 aukkoa)
- Sony ZR (4 aukkoa)
- LG G2 (4 aukkoa)
- LG G3 (4 aukkoa)
- LG G4 (4 aukkoa)
- LG L65 (4 aukkoa)
- LG Nexus 5X (2 aukkoa)
- LG Nexus 5 (1 aukko)
- LG K 10
- Nexus 4 (3 aukkoa)
- Nexus 5 (1 aukko)
- Nexus 6p (1 aukko)
- HTC Desire 610 (4 aukkoa)
- Moto 4G Plus (3 aukkoa)
- Moto X Style (4 aukkoa)
- Moto X Play (4 aukkoa)
- Jolla (Sailfish 2.0.2.48, ilmeisesti Android-tuella? 4 aukkoa)
- OnePlus 1 (3 aukkoa)
- OnePlus 2 (4 aukkoa)
- OnePlus 3 (3 aukkoa)
- Huawei Nexus 6P (2 aukkoa)
- Moto X Style (4 aukkoa)
- Moto G Dual SIM (4 aukkoa)
- Marshall London (4 aukkoa)
- HTC One (4 aukkoa)
- CAT S40 (4 aukkoa)
Testi antanut puhtaan tuloksen (none of the four vulnerabilities found):
- Samsung S7
- Samsung S6
- Samsung S5 Neo
- Samsung S3-4G
- Samsung Galaxy Nexus
- Samsung Galaxy Trend Plus
- Samsung Galaxy A3
- Samsung Galaxy Tab 3
- Samsung Galaxy Tab 4
- Huawei Honor 6
- Huawei Honor 7
- Huawei Honor 4X
- Huawei P9
- Sony Xperia XA
Vanhan kaavan mukaan media liioittelee ("nyt ei kenenkään puhelin ole täysin turvallinen"), joten haavoittuvan puhelimen omistajan kannattaa lukea tämä Androidcentralin juttu ja seurata tilannetta.
Lisäys 10.8.2016: Googlen mielestä riskiä on suuresti liioiteltu. Tosin Verify Apps ei nähdäkseni ole mikään patenttilääke: se estää kyllä tunnistettujen haitallisten ohjelmien käytön, mutta ei pysty estämään varsinaisen turva-aukon käyttöä.
Testasin oman puhelimeni eli Sony Xperia Z5 Compact ja 4 aukkoa löytyi...
VastaaPoistaNexus 5 (elokuun turvapaketti asennettu): CVE-2016-5340 haavoittuvuus, ei muita ongelmia.
VastaaPoistaKirjoittaja on poistanut tämän kommentin.
VastaaPoistaHTC Desire 610 (Android 4.4.2): 4 haavoittuvuutta
VastaaPoistaMoto 4G Plus, 3 haavoittuvuutta.
VastaaPoistaJolla, SailfishOS 2.0.2.48, 4 haavoittuvuutta.
VastaaPoistaLGK K10 4 haavoittuvuutta
VastaaPoistaMarshall London, Android 5.0.2. 4 haavoittuvuutta (CVE-2016-2059, CVE-2016-2504, CVE-2016-2503, CVE-2016-5340)
VastaaPoistaNiin täälläkin Huawei Y560-L01
PoistaSamsung Galaxy Trend Plus (Android 4.2.2), ei haavoittuvuutta
VastaaPoistaNote 4 marshmallow, 3 haavoittuvuutta
VastaaPoistaMotorola Moto X Style altis. 4 reikää.
VastaaPoistaSamsung Galaxy S4 mini neljä haavoittuvuutta
VastaaPoistaSamsung Galaxy A3, ei haavoittuvuutta.
VastaaPoistaMinun A3, 3 haavoittuvuutta...
PoistaSony Xperia M4 aqua mallinro E2303, 4 reikää
VastaaPoistaMoro, moto x play löysi 4 aukkoa.
VastaaPoistaNexus 6p tuli päivitys joka korjasi yhden reiän. Vielä on jäljellä CVE-2016-5340
VastaaPoistaSony Xperia XA, ei haavoittuvuuksia.
VastaaPoistaOneplus one, 3 aukkoa
VastaaPoistaSony ZR: 4 aukkoa.
VastaaPoistaSamsung S4 Active GT-19295
VastaaPoistaMinun puhelimessani oli neljä haavoittuvuutta:
CVE-2016-2059
CVE-2016-2504
CVE-2016-2503
CVE-2016-5340
HTC One, neljä aukkoa
VastaaPoistaLG G2: 4 aukkoa.
VastaaPoistaSamsung Galaxy TAB 3 8.0 SM-T315: ei haavoittuvuutta
VastaaPoistaSony Xperia X, 4 aukkoa
VastaaPoistaHuawei Honor 4X Che2-L11, Android 5.1.1, ei haavoittuvuutta
VastaaPoistaNäiden turva-aukkojen hyödyntäminen taitaa olla helpointa tekemällä ohjelmisto, joka testaa onko reikä olemassa..
VastaaPoistaSamsung Galaxy J5 (Android 5.1.1, viimeisintä päivitystä ei vielä asennettu): 4 aukkoa.
VastaaPoistaNexus 4, 3 haavoittuvuutta (...2504, 2503 ja 5340), Android 5.1.1 (LMY48T)
VastaaPoistaSony Xperia Z3+ 4 aukkoa
VastaaPoistaSony Xperia Z1 Compact, 4 aukkoa
VastaaPoistaMotorola Moto G Dual SIM (2nd gen), Android 6.0, Tietoturvakorjaus 1.1.2016: 4 aukkoa
VastaaPoistaCAT S40, 4 haavoittuvuutta, Android 5.1, tietoturvakorjaus 2016-05-01
VastaaPoistaSamsung Galaxy Tab 4, 7" ja 8" (LTE-tablet-puhelin) 0 aukkoa
VastaaPoistaSamsung A3, 3 haavoittuvuutta
VastaaPoistaSAMSUNG CALAXY TAB PRO 12.2 kaikki 4 kpl
VastaaPoistaSamsung Calaxy 2014 Edition kaikki 4 kpl
Vanhemmat Sammy-puhelimet Young 2 ja S3 3G molemmat 0 kpl
LG Spirit 4G neljä haavoittuvuutta. HP Slate Voicetab 7 Ultra ei haavoittuvuuksia.
VastaaPoistaJa keskustelupalstoilla hyvin yleinen toteamus oli monien vuosien ajan: Lumia ja WP on täyspaskoja ja reikäisiä.
VastaaPoistaSamsung Galaxy S5 (SM-G900F), 4 aukkoa
VastaaPoistaSony Xperia Z1 Compact (CVE-2016-2059),(CVE-2016-2504) haavoittuvuudet.
VastaaPoista