Viranomainen varoittaa: iso määrä Android-laitteita haavoittuvaisia

Viestintäviraston kyberturvallisuuskeskus kertoo Android-haavoittuvuudesta ja sen uudesta hyväksikäyttömenetelmästä, joka koskettaa hurjaa määrää Android-laitteita. Haavoittuvuuden hyväksikäyttö ei varsinaisesti edes vaati laitteen käyttäjältä erityisempiä toimenpiteitä, vaan käynti haitallisella verkkosivulla riittää.

Tutkimusyhtiö NorthBit on esitellyt kolmivaiheisen tavan ottaa Android-laite haltuun haavoittuvuuksia hyödyntäen. Viime vuonna löytyneitä Stagefright-haavoittuvuuksia hyväksikäyttävä Metaphor-hyökkäys toimii kaikissa niissä Android-versioissa, joissa ei olemuistin suojaukseen käytettyä ASLR:ää (Address Space Layout Randomization) tai joissa se on ohitettavissa. Tämä tarkoittaa Android-versioita 2.2 – 4.0 ja 5.0 – 5.1.NorthBitin mukaan hyökkäys on onnistunut niin Nexus 5:llä, LG G3:lla, HTC Onella kuin Samsung Galaxy S5:lläkin.

Metaphor voi päästä puhelimen sisältöön käsiksi esimerkiksi haitallisella verkkosivulla olevan videon tai multimediaviestien kautta. Viestintävirasto suositteleekin tarkistamaan kaikkien verkkoselaukseen käytettyjen ja multimediaviestien vastaanottoon kykenevien Android-laitteiden päivitykset, ja suosittelee, ettei haavoittuvia Android-laitteita käytettäisi.

Iso ongelma Android-laitteissa on eri käyttöjärjestelmäversioiden pirstaleisuus ja laitevalmistajien heikko ohjelmistotuki. Google julkaisi Stagefright-haavoittuvuuksiin viime vuonna päivityksen nopeasti, mutta päivitysten jakelu laitevalmistajilta käyttäjille saattaa olla hyvin hidasta ja vanhemmat laitteet voivat jäädä kokonaan vaille päivityksiä.