Google taas myrskynsilmässä – Androidin vakava haavoittuvuus unohtui auki viideksi vuodeksi


Google paikkasi vasta haavoittuvuuden, jonka kautta kyberrikollinen saattoi kaapata mobiilipäätelaitteen. Ansoitettu verkkosivu laukesi yhdellä klikkauksella ja avasi tunkeutujalle koko pajatson.  Aiheellisesti asiantuntijat kysyvät Wiredin sivuilla, kuinka on mahdollista, että Android on turva-aukon kautta vuotanut viiden vuoden ajan melkein kaiken mahdollisen käyttäjätietonsa.

Tämä toinenkin ansoitettujen saittien kautta toiminut bugi on nyt korjattu uusimmissa Android-versioissa. Mutta se vuotoaika, viisi vuotta, on hajamielisyyden riemuvoitto. Unohdettu haavoittuvuus toimi viisi vuotta ja mahdollisti lukemattoman määrän kyberrikoksia.

Vanha tapa systemaattisesti dokumentoida kaikki mahdollinen järjestelmälle tehtävä konffaus olisi ehkä säästänyt yhtiön tältä häpeältä. Käyttöjärjestelmäpäivitys 4.4:n lähdekoodiin sisälsi tämän vaarallisen bugin, jonka kautta hyökkääjä on voinut ottaa haltuun muun muassa pankkisovellutusten tilit ja nettiselaushistorian. Tietoturvayhtiö Positive Technologies paljastaa, että Google paikkasi vasta hiljakkoin Android-käyttöjärjestelmästä tuon vakavan haavoittuvuuden.

Sama haavoittuvuus toimi sepposen selällään niin Android 5:ssä kuin 6:ssakin. WebView päivitettiin Google Playssa. Silti 4.4 näyttää jääneen ilman paikkaa! Näiden haavoittuvien puhelemien määrää ei tiedetä, mutta siitä on esitetty huimia lukuja.

Mitä käytännössä tapahtui?

Vuosiksi unhoon jäänyt bugi syntyi Chromium-nimen saaneessa selaimen kehitysprojektissa, ja se on seurannut Chromiumiin perustuvissa Androidin selaimissa, kuten Chrome, Yandex Browser tai Samsung Internet Browser.  Hyökkääjä on sen kautta tullut sisään helposti: ovi aukeni, kun saastutettua verkkolinkkiä klikattiin ansoittelulla sivustolla. Hauskat ansoitetut sivut levisivät somessa.

Myös ylläpitäjä voi näemmä ansoittaa oman sivustonsa tietämättään, ja vieläpä varsin simppelillä tavalla. Kävi niin, että Itä-Suomen yliopistossa salasanani yllättäen vanheni käsiin. Palvelu ohjasi pankkitunnuksia käyttäen vaihtamaan salasanan. Ensinnäkin: salasananvaihtopalvelu herjasi, jos merkkijono oli pidempi kuin 16 merkkiä. Tämä nyt on aivan ajastaan jälkeen jäänyt suorastaan vaarallinen ehto, koska botit pystyvät murtamaan tällaiset lyhyet merkkijonot salasanoissa.

Sitten sivusto ilmoitti, että salasanavaihdolle tuki löytyy vielä toistaiseksi vain Internet Explorer –selaimelle. Vielä pahempaa! Tätä reikäistä IE-selainta ei ole paikattu enää vuosiin, ja sen kerrotaan olevan ainut tuettu selain.

Kokeilinpa, palvelu toimi Chromella. Hyvä niin, näet IE:n olen jo pannut lukkojen taakse edellä mainituista syystä. Se on seula, jonka reikiä ei enää päivitetä.

Mietin, miten yliopisto voi elää yli 10 vuoden takaisessa maailmassa? Häpeän yliopiston puolesta.

Reijo Holopainen

VIIMEISIN ARTIKKELI

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…

3 tapaa tehostaa sesongin markkinointia

22.11.2024 |

Tärkeimpiin sesonkeihin on hyvä valmistautua hyvissä ajoin. Ensimmäinen askel on päivittää markkinoinnin vuosikello. Merkitse vuosikelloon … LUE LISÄÄ…

Woocommerce ohje: Arvonlisäveron asettaminen tai muuttaminen

22.08.2024 |

Alv-prosentin muuttuessa tulee verokanta päivittää verkkokauppoihin. Tässä ohjeessa neuvon askel askeleelta, kuinka asetat tai vaihdat … LUE LISÄÄ…

WordPress-ohje: Opas verkkosivuston päivittämiseen ja hallintaan

23.07.2024 |

WordPress on helppokäyttöinen, monipuolinen ja tehokas julkaisujärjestelmä, joka tarjoaa kaiken tarvitsemasi verkkosivustosi luomiseen, hallintaan ja päivittämiseen. Toteutamme Sollertiksella … LUE LISÄÄ…