Android-sovellusten lepsusta tietojen käsittelystä paljastui paha turva-aukko – jopa Googlen oma sovellus haavoittuvainen
Tietoturvayhtiö Check Point on jälleen paljastanut yhden uuden mahdollisen turva-aukon Android-käyttöjärjestelmään liittyen. Tällä kertaa käyttöjärjestelmän sovellukset haavoittuvaksi tekevät useiden eri sovellusten puutteellinen tapa käsitellä External Storage -muistiosioon tallennettuja tietoja.
External Storage on muistiosio, joka voi sijaita laitteen sisäisessä muistissa tai muistikortilla, ja joka on jaettu eri sovellusten kesken. Jaettua muistia tarvitaan, jotta sovellukset voivat jakaa tietoja toistensa kanssa tai jotta ne esimerkiksi pääsevät käsiksi laitteeseen tallennettuihin mediatiedostoihin, kuten kuviin ja videoihin.
Ongelmaksi jaettu muistiosio muodostuu, koska Check Point havaitsi, etteivät monet sovellukset käytä ja käsittele External Storage -tietoja asianmukaisella tavalla. Sovellusten tulisi varmistaa käsiteltävät tiedot, joita ladataan External Storage -muistialueelta, pidättäytyä tallentamasta sinne suoritettavia ohjelmatiedostoja sekä varmistaa tallennettujen tiedostojen oikeellisuus digitaalisella allekirjoituksella ja kryptografisella varmistuksella ennen tietojen käyttöä.
Koska sovellukset eivät useinkaan noudata edellä mainittuja asiallisia tietoturvakäytäntöjä, avaa tämä External Storagen alttiiksi erilaisille hyökkäyksille. Hyökkääjä voi esimerkiksi ensin houkutella käyttäjän asentamaan jonkin harmittomalta vaikuttavan sovelluksen, joka kuitenkin myös pyytää oikeudet muistin käyttämiseen. Tämän jälkeen tämän sovelluksen kautta voidaan seurata myös muuta External Storage -muistiosion käyttöä muiden sovellusten toimesta ja iskeä, kun tietojen käsittelekäytännössä ilmenee puutteita.
Check Pointin tutkimuksissa esimerkiksi Google Translate, Yandex Translate ja Google Voice Typing -sovellukset eivät varmistaneet External Storagesta ladattuja tietoja. Näin tutkijat korruptoivat osan tiedostoista johtaen onnistuneesti näiden sovellusten kaatumiseen.
Älypuhelinvalmistaja Xiaomin Browser-selainsovelluksen puolestaan todettiin käyttävän External Storagea välitallennuspaikkana sovelluspäivitysten yhteydessä. Check Pointin tiimi onnistui hyökkäyksessä, jossa päivityskoodi korvattiin toisella, johtaen päivityksen sijaan toisen sovelluksen asentamiseen laitteeseen.
Googlen Check Point kertoo jo korjanneen paljastuneet ongelmat omista sovelluksistaan tiedoksiannon jälkeen. Muut sovellusten kehittäjät työstävät myös omia korjauksiaan, mutta mielenkiintoisesti Xiaomi päätti Check Pointin mukaan, ettei se aio tehdä asialle toistaiseksi mitään.
Check Point korostaa testanneensa vain pienen määrän sovelluksia, ja heikkojen käytäntöjen yleisyyden jo näissä kertovan ongelman koskevan todennäköisesti erittäin laajasti eri Android-sovelluksia.
Uusimmat
-
21:15
Elokuvatähti Nicolas Cage, 57, asteli salaa viidettä kertaa naimisiin – kihlasi 26-vuotiaan tyttöystävänsä videopuhelun avulla
-
21:10
Tinder-treffit muuttuivat painajaiseksi: 37-vuotias mies raiskasi tuntien ajan ja kuvasi salaa – "Miltä tuntuu, kun et voi tehdä mitään"
-
21:01
Oliko Iivo Niskasen reaktio liioiteltu? Päävalmentajalta osuva huomio suksiraivoon
-
20:50
Leah halusi tietää, onko "posliini" vielä in – karvakeskustelu lipsahti välittömästi sivuraiteille: "Ne varmaan laitetaan nyt keskijakaukselle..."
-
20:46
Lotta Kemppinen teki suomalaista yleisurheiluhistoriaa – "Menin sillä tavalla, että muilla on paineet"
-
20:41
Poliisien käsiin kuolleen George Floydin oikeusprosessi alkaa – näin kansainväliseksi ilmiöksi muuttuneen tapauksen käsittely etenee
-
20:30
Jorma Uotinen pyydetään lavalle Talentissa – mies yllättää kaikki painamalla kultaista nappia
-
20:29
Norjan viisinkertainen olympiavoittaja ei sulattanut Johannes Kläbon hylkäyspäätöstä – "Skandaali"
-
20:25
New Yorkin kuvernööristä taas uusia seksisyytöksiä: ”Liian pitkää, tiukkaa ja intiimiä halailua”
-
20:15
Burkakielto läpi kansanäänestyksessä: Kasvojen peittäminen kielletään Sveitsissä
-
20:04
Ella Junnila Suomen ennätyksellä EM-pronssille!
-
19:52
Teini-iässä Ansley päätti "säästää itseään" avioliittoon – varoittaa nyt seurauksista: "Olen katkera siitä, että..."
-
19:50
Lotta Kemppinen upeasti EM-hopealle!
-
19:39
Jokerien entinen hyökkääjä puraisi – Teemu Pulkkinen laukoi Lokomotivin lähelle KHL-jatkopaikkaa
-
19:21
Jari Isometsä moittii Iivo Niskasen reaktiota – "Turha siinä on enää huudella"
-
19:17
Trump hautoo "järisyttävää" paluuta someen – neuvonantaja vihjailee täysin uudesta sosiaalisen median alustasta
-
19:09
Aseistettua naapuriaan paennut Salkkarit-hahmo kiittelee pelastajaansa – helpotus vaihtuu hetkessä kauhuun
-
18:55
Iranissa vapautettu brittiläis-iranilainen avustustyöntekijä joutumassa uudelleen oikeuden eteen
-
18:52
Nasa lähetti tuhansia matoja avaruuteen ison ongelman ratkaisemiseksi: ”Monen mielestä aivan hullua”
-
18:50
Miten aloittaa keskustelu Tinderissä? Näin neuvoo Sanna Kiiski: "Se ei välttämättä ole asia, mitä kannattaa ihan toiseen viestiin laittaa"
-
Lataa lisää