Google taas myrskynsilmässä – Androidin vakava haavoittuvuus unohtui auki viideksi vuodeksi


Google paikkasi vasta haavoittuvuuden, jonka kautta kyberrikollinen saattoi kaapata mobiilipäätelaitteen. Ansoitettu verkkosivu laukesi yhdellä klikkauksella ja avasi tunkeutujalle koko pajatson.  Aiheellisesti asiantuntijat kysyvät Wiredin sivuilla, kuinka on mahdollista, että Android on turva-aukon kautta vuotanut viiden vuoden ajan melkein kaiken mahdollisen käyttäjätietonsa.

Tämä toinenkin ansoitettujen saittien kautta toiminut bugi on nyt korjattu uusimmissa Android-versioissa. Mutta se vuotoaika, viisi vuotta, on hajamielisyyden riemuvoitto. Unohdettu haavoittuvuus toimi viisi vuotta ja mahdollisti lukemattoman määrän kyberrikoksia.

Vanha tapa systemaattisesti dokumentoida kaikki mahdollinen järjestelmälle tehtävä konffaus olisi ehkä säästänyt yhtiön tältä häpeältä. Käyttöjärjestelmäpäivitys 4.4:n lähdekoodiin sisälsi tämän vaarallisen bugin, jonka kautta hyökkääjä on voinut ottaa haltuun muun muassa pankkisovellutusten tilit ja nettiselaushistorian. Tietoturvayhtiö Positive Technologies paljastaa, että Google paikkasi vasta hiljakkoin Android-käyttöjärjestelmästä tuon vakavan haavoittuvuuden.

Sama haavoittuvuus toimi sepposen selällään niin Android 5:ssä kuin 6:ssakin. WebView päivitettiin Google Playssa. Silti 4.4 näyttää jääneen ilman paikkaa! Näiden haavoittuvien puhelemien määrää ei tiedetä, mutta siitä on esitetty huimia lukuja.

Mitä käytännössä tapahtui?

Vuosiksi unhoon jäänyt bugi syntyi Chromium-nimen saaneessa selaimen kehitysprojektissa, ja se on seurannut Chromiumiin perustuvissa Androidin selaimissa, kuten Chrome, Yandex Browser tai Samsung Internet Browser.  Hyökkääjä on sen kautta tullut sisään helposti: ovi aukeni, kun saastutettua verkkolinkkiä klikattiin ansoittelulla sivustolla. Hauskat ansoitetut sivut levisivät somessa.

Myös ylläpitäjä voi näemmä ansoittaa oman sivustonsa tietämättään, ja vieläpä varsin simppelillä tavalla. Kävi niin, että Itä-Suomen yliopistossa salasanani yllättäen vanheni käsiin. Palvelu ohjasi pankkitunnuksia käyttäen vaihtamaan salasanan. Ensinnäkin: salasananvaihtopalvelu herjasi, jos merkkijono oli pidempi kuin 16 merkkiä. Tämä nyt on aivan ajastaan jälkeen jäänyt suorastaan vaarallinen ehto, koska botit pystyvät murtamaan tällaiset lyhyet merkkijonot salasanoissa.

Sitten sivusto ilmoitti, että salasanavaihdolle tuki löytyy vielä toistaiseksi vain Internet Explorer –selaimelle. Vielä pahempaa! Tätä reikäistä IE-selainta ei ole paikattu enää vuosiin, ja sen kerrotaan olevan ainut tuettu selain.

Kokeilinpa, palvelu toimi Chromella. Hyvä niin, näet IE:n olen jo pannut lukkojen taakse edellä mainituista syystä. Se on seula, jonka reikiä ei enää päivitetä.

Mietin, miten yliopisto voi elää yli 10 vuoden takaisessa maailmassa? Häpeän yliopiston puolesta.

Reijo Holopainen

VIIMEISIN ARTIKKELI

PiKa Puhtaus – oppeja digimarkkinoinnista ja helpotusta arkeen 

25.03.2024 |

PiKa Puhtaus Oy on vuonna 2011 perustettu siivouspalveluja tarjoava yritys. PiKa Puhtaus tarjoaa koti-, toimitila- … LUE LISÄÄ…

Miten voin hyödyntää Microsoft Copilottia – työkaverina tekoäly

21.03.2024 |

Microsoft Copilot on tekoälyavustaja, joka voi auttaa säästämään aikaa ja tehostamaan työtä. Se on digitaalinen … LUE LISÄÄ…

Kadonneen datan arvet – Varmuuskopioinnilla vältyt katastrofilta

15.03.2024 |

Varmuuskopiotko tarpeelllisia? Turhaa ajan haaskausta, lisää kustannuksia, ohjelmien asennusta, vaivannäköä, ei meille kuitenkaan mitään satu … LUE LISÄÄ…

PK-yrityksen tuet ja rahoitus vuonna 2024

02.02.2024 |

Kaupallinen yhteistyö Sortter Oy Vuonna 2024 yrityksille on tarjolla useita eri rahoituskanavia ja tukimuotoja. Yritystuella … LUE LISÄÄ…

Sähköpostimarkkinointi ohjelma yrityksille – ActiveCampaign

28.12.2023 |

Yrityksille suunnatut sähköpostimarkkinointi ohjelmat tarjoavat monipuolisia työkaluja kampanjoiden suunnitteluun, toteuttamiseen ja seurantaan. Tässä kirjoituksessa tarkastelemme … LUE LISÄÄ…

Kesäharjoittelijana

07.07.2023 |

Hei vaan! Olen Laura, opiskelen Ingmanedu Kulttuurialan ammattiopistossa Media-alan ja kuvallisen ilmaisun perustutkintoa. Etsin itselleni … LUE LISÄÄ…

Verkkokaupan saavutettavuus mahdollistaa shoppailun kaikille asiakasryhmille

31.05.2023 |

Verkkokaupan saavutettavuus tarkoittaa, että verkkokauppa on suunniteltu niin, että kaikki käyttäjät voivat käyttää sitä yhtä … LUE LISÄÄ…

Saavutettavuus verkkoympäristössä

15.05.2023 |

Kaikilla on varmasti ollut hetkiä, jolloin on tarvinnut apuvälineitä tai muiden ihmisten apua pärjätäkseen päivittäisissä … LUE LISÄÄ…