Tiesitkö? Android-puhelimen turvallisuus voi vaihdella maasta riippuen – F-Secure paljasti haavoittuvuuksia

Suomalainen tietoturvayhtiö F-Secure kertoo löytäneensä Android-puhelimista maakohtaisia tietoturvaongelmia.

F-Securen tutkimukset osoittavat, että suurimpienkin älypuhelinvalmistajien laitteet kärsivät maakohtaisista tietoturvaongelmista. Merkittävää on se, että maailmanlaajuisesti myytävien laitteiden turvallisuus tarjoaa erilaisia tietoturvatasoja kuluttajille maasta riippuen. Samat tietoturvahaasteet eivät kosketa puhelinkäyttäjiä kaikkialla, joten tilanne muodostaa hajanaisen tietoturvaongelmien kentän.

Tutkijoiden tutkimiin laitteisiin kuuluivat Huawei Mate 9 Pro, Samsung Galaxy S9 ja Xiaomi Mi 9. Konfigurointiongelmat ja haavoittuvuuksien hyödyntämismahdollisuudet vaihtelevat laitteesta toiseen. Joidenkin puhelinkäyttäjien tietoturvastandardit ovat lähtökohtaisesti alemmalla tasolla riippuen siitä, miten laitevalmistaja konfiguroi laitteet.

Esimerkiksi Samsung Galaxy S9 tunnistaa alueen, jossa SIM-kortti toimii, mikä vaikuttaa laitteen toimintaan ja esiasennettuihin sovelluksiin. F-Securen tietoturvakonsultit havaitsivat, että he voisivat hyödyntää esiasennettua sovellusta saadakseen laitteen hallintaansa, kun Samsung-laitteen koodi havaitsi kiinalaisen SIM-kortin.

”Yleisesti oletetaan, että saman merkin laitteet ovat samanlaisia ympäri maailmaa. Näin ei kuitenkaan ole, sillä kolmannen osapuolen (kuten Samsung, Huawei, Xiaomi) tekemät räätälöinnit voivat alentaa laitteiden tietoturvaa merkittävästi riippuen siitä, millä alueella laite on tai missä laitteen SIM-kortti on aktivoitu. Olemme nähneet puhelimia, joissa on yli 100 toimittajan lisäämää sovellusta. Nämä avaavat merkittävän hyökkäyspinnan, joka muuttuu alueittain”, kommentoi F-Secure Consultingin johtaja James Loureiron.

F-Securen tietoturvakonsultit löysivät eri älypuhelinten maakohtaiset haavoittuvuudet useiden vuosien aikana suorittaessaan tutkimusta Pwn2Own-hakkerointikilpailua varten, jossa hakkeritiimit yrittävät murtaa erilaisia laitteita hyödyntämällä aiemmin paljastamattomia haavoittuvuuksia (nollapäivähaavoittuvuudet).

Kaikki hyökkäyksissä käytetyt haavoittuvuudet on korjattu. Tarkemmin tutkimuksesta voi lukea F-Securen blogista.

”Tämänkaltaisten ongelmien löytäminen useista tunnetuista matkapuhelimista osoittaa, että tietoturvan kanssa työskentelevien tulisi tarkastella aluetta tarkemmin. Tutkimuksemme on antanut meille näkemystä siitä, kuinka ongelmallista räätälöityjen Android-käyttöjärjestelmien leviäminen voi olla turvallisuuden näkökulmasta. On todella tärkeää lisätä tietoisuutta näistä haasteista laitetoimittajien keskuudessa, mutta myös suurten organisaatioiden keskuudessa, joilla on toimintaa useissa eri maissa”, F-Secure Consultingin vanhempi tietoturvakonsultti Mark Barnes toteaa.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla