Android-sovellusten lepsusta tietojen käsittelystä paljastui paha turva-aukko – jopa Googlen oma sovellus haavoittuvainen
Tietoturvayhtiö Check Point on jälleen paljastanut yhden uuden mahdollisen turva-aukon Android-käyttöjärjestelmään liittyen. Tällä kertaa käyttöjärjestelmän sovellukset haavoittuvaksi tekevät useiden eri sovellusten puutteellinen tapa käsitellä External Storage -muistiosioon tallennettuja tietoja.
External Storage on muistiosio, joka voi sijaita laitteen sisäisessä muistissa tai muistikortilla, ja joka on jaettu eri sovellusten kesken. Jaettua muistia tarvitaan, jotta sovellukset voivat jakaa tietoja toistensa kanssa tai jotta ne esimerkiksi pääsevät käsiksi laitteeseen tallennettuihin mediatiedostoihin, kuten kuviin ja videoihin.
Ongelmaksi jaettu muistiosio muodostuu, koska Check Point havaitsi, etteivät monet sovellukset käytä ja käsittele External Storage -tietoja asianmukaisella tavalla. Sovellusten tulisi varmistaa käsiteltävät tiedot, joita ladataan External Storage -muistialueelta, pidättäytyä tallentamasta sinne suoritettavia ohjelmatiedostoja sekä varmistaa tallennettujen tiedostojen oikeellisuus digitaalisella allekirjoituksella ja kryptografisella varmistuksella ennen tietojen käyttöä.
Koska sovellukset eivät useinkaan noudata edellä mainittuja asiallisia tietoturvakäytäntöjä, avaa tämä External Storagen alttiiksi erilaisille hyökkäyksille. Hyökkääjä voi esimerkiksi ensin houkutella käyttäjän asentamaan jonkin harmittomalta vaikuttavan sovelluksen, joka kuitenkin myös pyytää oikeudet muistin käyttämiseen. Tämän jälkeen tämän sovelluksen kautta voidaan seurata myös muuta External Storage -muistiosion käyttöä muiden sovellusten toimesta ja iskeä, kun tietojen käsittelekäytännössä ilmenee puutteita.
Check Pointin tutkimuksissa esimerkiksi Google Translate, Yandex Translate ja Google Voice Typing -sovellukset eivät varmistaneet External Storagesta ladattuja tietoja. Näin tutkijat korruptoivat osan tiedostoista johtaen onnistuneesti näiden sovellusten kaatumiseen.
Älypuhelinvalmistaja Xiaomin Browser-selainsovelluksen puolestaan todettiin käyttävän External Storagea välitallennuspaikkana sovelluspäivitysten yhteydessä. Check Pointin tiimi onnistui hyökkäyksessä, jossa päivityskoodi korvattiin toisella, johtaen päivityksen sijaan toisen sovelluksen asentamiseen laitteeseen.
Googlen Check Point kertoo jo korjanneen paljastuneet ongelmat omista sovelluksistaan tiedoksiannon jälkeen. Muut sovellusten kehittäjät työstävät myös omia korjauksiaan, mutta mielenkiintoisesti Xiaomi päätti Check Pointin mukaan, ettei se aio tehdä asialle toistaiseksi mitään.
Check Point korostaa testanneensa vain pienen määrän sovelluksia, ja heikkojen käytäntöjen yleisyyden jo näissä kertovan ongelman koskevan todennäköisesti erittäin laajasti eri Android-sovelluksia.
Mainos
Mainos
Suosituimmat videot
Mainos
Uusimmat
-
23:57
Uskomaton ottelukierros! Norja ja Ruotsi tarjosivat huippujännittävän trillerin EM-karsinnoissa – Sveitsi suli totaalisesti Tanskan käsittelyssä
-
23:30
Trump lyttäsi tiedotusvälineitä Mueller-tutkinnasta, mutta demokraatit vaativat yhä raportin julkaisua
-
23:14
Virnuileva nakupelle hämmensi naapurustossa: Juoksenteli kaduilla, soitteli ovikelloja ja painoi itsensä vasten pariskunnan makuuhuoneen ikkunaa – katso video
-
22:55
Petteri Orpo venkoili sitovan hoitajamitoituksen kanssa Ylen vaalitentissä – kertoi haluavansa kuulla asiantuntijoita ennen ratkaisuja, muttei osannut nimetä yhtäkään
-
22:45
Brittimedioissa rajuja väitteitä: Herttuatar Catherine ilmiriidoissa ystävänsä kanssa – prinssi William yrittää sovitella tilannetta?
-
22:27
Mitä hyötyä on Veikkauksen mainostamista rahapelirajoista? Jaakko Loikkanen rullutteli Asian ytimessä -lähetyksessä salaa Veikkauksen hedelmäpeliä – "Ei mulla oo mitään pelirajaa täällä"
-
22:17
Huuhkajat-tähti Robin Lod säkenöi Armenia-voitossa – "Tämä oli meille vaikea peli"
-
22:11
Game of Thrones -tähti julkaisi hulvattoman videon: "Tämä on Starkeille"
-
22:08
Häikäisevä teos! Taiteilija ikuisti Patrik Laineen upealla tavalla – näyttävä piirros vaati jopa 50 työtuntia
-
22:07
Tarvitaanko kohtalokas virhe? Entinen Nato-lähettiläs: "Maailman mahdollisuudet selvitä seuraavasta 75 vuodesta ilman ydinräjähdystä ovat häviävän pienet"
-
21:48
Sinnikäs pako tallentui videolle: Kuski runnoi väkisin poliisiautojen läpi – ei suostunut pysähtymään edes aseella uhaten: ”Olin matkalla töihin”
-
21:32
Bernie Ecclestone myöntää keskustelut kilpailevan F1-sarjan perustamisesta: "En usko sen koskaan toteutuvan"
-
21:31
Kellojen siirtelylle heitetään lopulliset hyvästit, mutta mitä seuraavaksi? Suomella on vuosi aikaa päättää, mikä aika valitaan
-
21:30
Juontajapariskunta Marja Hintikka ja Ile Uusivuori romanttisella lomamatkalla: "Akut ladattu, nyt skidien luokse himaan"
-
21:15
Masennus ja uupuminen on hyväksyttävä osaksi elämää, vaatii mielenterveyden asiantuntija – diagnoosi ei ole kaiken loppu: "Sinulla on edelleen oikeus jatkaa"
-
21:12
HV71 lyö kampoihin runkosarjan voittajalle – suomalaispakit tehoille
-
21:05
Nuori mies löydettiin pahoinpideltynä Kuopiosta – kahta epäillään tapon yrityksestä
-
20:55
Yhdysvallat lupaa lähettää astronautteja kuuhun viiden vuoden sisällä – mukana myös ensimmäistä kertaa nainen
-
20:55
Asiantuntijalta tärkeä muistutus kaikille vanhemmille: "Myös oma aika on tärkeää!"
-
20:54
Yövuorot voivat lisätä keskenmenon riskiä jopa kolmanneksella – syy tutussa hormonissa?
-
Lataa lisää