Android-laitteiden puhelin-sovelluksissa on havaittu vakava tietoturva-aukko, joka mahdollistaa mm. puhelimen etäpyyhinnän. Syöttämällä www-sivuille ns. iframe-objektiin lähteeksi haittakoodia sisältävän puhelinnumeron, käynnistyy puhelin-sovelluksen kautta laitteen tehdasasetusten palautus ilman erillistä käyttäjän hyväksyntää. Samaa temppua on mahdollista myös hyödyntää lähettämällä haittakoodia sisältävä SMS/MMS-viesti toisen puhelimeen, joten kannattaa varoa myös epämääräisistä numeroista tulevia viestejä. Jäämme odottamaan valmistajien reagointia asiaan.
Omissa ja lukijoidemme testeissä saimme tempun onnistumaan satunnaisesti monien eri valmistajien laitteilla, joten aivan 100% varma hyökkäys ei ole kysessä, vaan se on riippuvainen puhelimen päivityksistä ja käytössä olevista ohjelmista/ohjelmistoversiosta. Osassa laitteita IMEI-koodin sai näkyviin tietyllä koodinpätkällä, osassa kaatui kotiruutuja pyörittävä “launcher”-sovellus ja osassa koko laite resetoituu tehdasasetuksille. Suosittelemme tarkistamaan että puhelimeen on asennettu viimeisin saatavilla oleva päivitys, sillä tämä korjaa ongelman osassa laitteita.
Osittaisena ratkaisuna on vaihtaa Android 4.0-laitteissa Google Chrome oletusselaimeksi, sillä se ei aja kyseistä haittakoodia, vaikka tukeekin TEL- komentosarjoja, joilla välitetään puhelinnumeroita www-sivuilta puhelin-sovelluksille.
Samsung on jo ilmoittanut tutkivansa asiaa, mutta painottaa myös käyttäjän roolia laitteiden tietoturvan ylläpidossa. NFC-toimintoja, QR-koodeja ja webbisivuja kannattaa varoa, mikäli niissä on jotain epäilyttävää. Kannattaa aina pitäytyä tunnetuissa sisältölähteissä.
Lähde: Twitter | Youtube
8 thoughts on “Android-laitteissa havaittu vakava tietoturva-aukko [Päivitetty 20:48]”
25.9.2012 at 15:43
Onnistuu myös wap push sms:llä vihun puhelimeen. http://www.youtube.com/watch?v=Q2-0B04HPhs
25.9.2012 at 16:02
Kuulemma myös esim Desire Z:lla sopiva vastaanotettu tekstiviesti laukaisee suoraan factoryresetin ilman että viestiä tarvitsee edes avata.
25.9.2012 at 17:18
Näkyy olevan korjattu jo ainakin S3:n uusimmassa softassa.
25.9.2012 at 17:41
Voisko tuolla satunnaisuudella olla tekemistä sen kanssa, että s3 soittaa automaattisesti, jos nostat sen korvalle?
Eli siis jollain sopivalla liikkeellä tai valaistuksella se lähtisikin soittamaan, eikä vain näytä sitä numeroa dialerissa.
26.9.2012 at 18:30
tänään tuli numerosta 12345678910 tai jotain tollasta viesti jossa oli kellon aika tai ainakin luulen, muotoa 16:04:23 en tiedä liittyykö tähän, mutta epäilen. Avasin sen huvikseen vaikka tämän jutun olinkin lukenut. Ei onneks tapahtunut mitään.
26.9.2012 at 23:27
Kuulin samanlaisesta viestistä, joku saattaa vain pelotellakin.
28.9.2012 at 14:38
Onko turva-aukko myös tableteissa, joissa puhelin?
3.10.2012 at 16:18
Näköjään ainaki Avast tietoturvaohjelman uusin päivitys poistaa ongelman. Yritettäessä siirtyä vaaralliselle sivulle ni kysyy että käytetäänkö puhelimen omaa numerovalitsinta vai Avastin “numerovalitsinta”. Siinä vaiheessa kun tajuaa vetäytyä…