Google paljasti haavoittuvuuksia laitealustoissa

Kyberhyökkäykset terveydenhuollon toimijoita vastaan koronapandemian aikana ovat tuomittu erityisen raukkamaisina tekoina. Kansainvälistä koronatutkimusta tekevä softafirma eResearchTechnology joutui viime vuoden puolella kiristysohjelmahyökkäyksen uhriksi. eResearchTechnologyn ohjelmia käytetään kliinisissä kokeissa Pohjois-Amerikassa, Euroopassa ja Aasiassa.

Osin kyberiskuissa on käytetty haavoittuvuuksia, jotka ovat syvällä käyttöliittymän alla, eikä käyttöjärjestelmävalmistaja pääse estämään niitä.

Tämä on pääsyy siihen, miksi Googlen haavoittuvuusskanneri Android Partner Vulnerability Initiative (PVI) tuotiin julkisuuteen. Tutka etsii haavoittuvuuksia piireistä ja erityisesti Androidia käyttävien puhelinvalmistajien laitteista.

Google julkaisi vikalistan

Google tiedotti kolmansien osapuolten tietoturvapuutteista erityisellä vikalistallaan. Bugikalleriaa päivitetään. Uuttakin on: Kun havaitaan vakava haavoittuvuus, siitä vastuussa olevat tahot, piiri- ja älypuhelinvalmistajat, tuodaan julkisuuteen.

Julkisuuden kanssa pelaaminen näyttää Googlen tiedotuksessa ikään kuin triviaalilta seikalta, mutta tosiasiassa medianäkyvyys ehkä onkin koko homman clue. Valmistajat reagoivat Googlen listauksiin esimerkiksi fraasiksi muuttuneelle teesillä: se ei ole bugi, se on ominaisuus.

Eräänlainen tietty linnarauha ja kauhuntasapaino näyttää nyt murtuneen kuin suuri pato, joka päästää ulos valtavan purkautumattoman paineensa.

Tiedetään, että puhelimeen esiasennetut sovellukset ja ajurit tekevät jotain muuta kuin mitä hövelisti kerrotaan: esiasennukset saattavat vuotaa salasanoja ja avata portteja. Myös erilaisia laitetietojen käyttöoikeuksia on vuotanut kolmansille osapuolille.

Erilaisia haavoittuvuuksia laitevalmistajien omissa sovelluksista ja mikrokoodeissa on epäilty löytyvän aina, ja tähän asti se on ollut tabu. Haavoittuvia kohtia ovat esimerkiksi prosessorien ja piirilevyjen omat ohjaimet. Rautataso toimii Googlen ylläpitämän Android-käyttöjärjestelmän kernelin alla.

Datavuodot menevät kuitenkin helposti käyttiksen valmistajan piikkiin, ja Googlelle näyttäisi tulleen mitta täyteen.

Android Partner Vulnerability Initiative löytää Android-käyttöjärjestelmän alla piilossa lymyävät haavoittuvuudet. Google linkittää listaansa teknologiavalmistaja Digitimen sekä piirivalmistajista Mediatekin.

Google nostaa Oppon-, Vivon-, ZTEn-, Transsion-, Meizun- ja Huawei-puhelimet tieturvaltaan kyseenalaisiksi.

Lista ei yllätä, koska se on kiinalaispainotteinen. Mutta ei se PVI myöskään mikään ihmekone ole, joka tekisi uusia löytöjä yötä päivää. Lista päivittyy hitaasti.

Android-ohjelmistosta löytyviä puutteita ei korosteta, mutta saattaa joskus olla vaikea osoittaa, oliko haavoittuvuutena muna (koodi) vai kana (rauta). Tämän analyysin sijaan fokukseen nostetaan laitevalmistajat. Näiden ilmiselvästi toivotaan julkisuuden myötä vastaavaan nopeammin esimerkiksi turva-aukkoihin koodattaviin päivityksiin. Se on tärkeä askel tietoturvan tiellä.

Monilla laitteilla paikkakoodien julkaisu on ollut liian verkkaista ja vastentahtoisen oloista.