Google taas myrskynsilmässä – Androidin vakava haavoittuvuus unohtui auki viideksi vuodeksi

Google paikkasi vasta
haavoittuvuuden, jonka kautta kyberrikollinen saattoi kaapata
mobiilipäätelaitteen. Ansoitettu verkkosivu laukesi yhdellä klikkauksella ja
avasi tunkeutujalle koko pajatson. Aiheellisesti
asiantuntijat kysyvät Wiredin sivuilla, kuinka on mahdollista, että Android on
turva-aukon kautta vuotanut viiden vuoden ajan melkein kaiken mahdollisen
käyttäjätietonsa.
Tämä toinenkin ansoitettujen saittien kautta toiminut bugi on nyt korjattu uusimmissa Android-versioissa. Mutta se vuotoaika, viisi vuotta, on hajamielisyyden riemuvoitto. Unohdettu haavoittuvuus toimi viisi vuotta ja mahdollisti lukemattoman määrän kyberrikoksia.
Vanha tapa systemaattisesti dokumentoida kaikki mahdollinen järjestelmälle tehtävä konffaus olisi ehkä säästänyt yhtiön tältä häpeältä. Käyttöjärjestelmäpäivitys 4.4:n lähdekoodiin sisälsi tämän vaarallisen bugin, jonka kautta hyökkääjä on voinut ottaa haltuun muun muassa pankkisovellutusten tilit ja nettiselaushistorian. Tietoturvayhtiö Positive Technologies paljastaa, että Google paikkasi vasta hiljakkoin Android-käyttöjärjestelmästä tuon vakavan haavoittuvuuden.
Sama haavoittuvuus toimi sepposen selällään niin Android 5:ssä kuin 6:ssakin. WebView päivitettiin Google Playssa. Silti 4.4 näyttää jääneen ilman paikkaa! Näiden haavoittuvien puhelemien määrää ei tiedetä, mutta siitä on esitetty huimia lukuja.
Mitä käytännössä tapahtui?
Vuosiksi unhoon jäänyt bugi syntyi Chromium-nimen saaneessa selaimen kehitysprojektissa, ja se on seurannut Chromiumiin perustuvissa Androidin selaimissa, kuten Chrome, Yandex Browser tai Samsung Internet Browser. Hyökkääjä on sen kautta tullut sisään helposti: ovi aukeni, kun saastutettua verkkolinkkiä klikattiin ansoittelulla sivustolla. Hauskat ansoitetut sivut levisivät somessa.
Myös ylläpitäjä voi näemmä ansoittaa oman sivustonsa tietämättään, ja vieläpä varsin simppelillä tavalla. Kävi niin, että Itä-Suomen yliopistossa salasanani yllättäen vanheni käsiin. Palvelu ohjasi pankkitunnuksia käyttäen vaihtamaan salasanan. Ensinnäkin: salasananvaihtopalvelu herjasi, jos merkkijono oli pidempi kuin 16 merkkiä. Tämä nyt on aivan ajastaan jälkeen jäänyt suorastaan vaarallinen ehto, koska botit pystyvät murtamaan tällaiset lyhyet merkkijonot salasanoissa.
Sitten sivusto ilmoitti, että salasanavaihdolle tuki löytyy vielä toistaiseksi vain Internet Explorer –selaimelle. Vielä pahempaa! Tätä reikäistä IE-selainta ei ole paikattu enää vuosiin, ja sen kerrotaan olevan ainut tuettu selain.
Kokeilinpa, palvelu toimi Chromella. Hyvä niin, näet IE:n olen jo pannut lukkojen taakse edellä mainituista syystä. Se on seula, jonka reikiä ei enää päivitetä.
Mietin, miten yliopisto voi elää yli 10 vuoden takaisessa maailmassa? Häpeän yliopiston puolesta.

