26.5.2017 klo 10:55
Uutinen

Varo: Uusin Android-reikä antaa mahdollisuuden salasanojen varastamiseen

Android-mobiilikäyttöjärjestelmässä on havaittu haavoittuvuus, joka antaa verkkorikollisille mahdollisuuden henkilökohtaisten tietojen varastamiseen.

Androidin uusin haavoittuvuus kannattaa ottaa vakavasti, sillä sen myötä rikollisilla on mahdollisuus päästä käsiksi käyttäjän salasanoihin ja muihin puhelimessa tai tabletissa oleviin tietoihin. Pahimmassa tapauksessa puhelin saatetaan kaapata.

Nyt havaittu haavoittuvuus vaikuttaa kaikkiin käytössä oleviin Android-versioihin, mukaan lukien uusimpaan 7.1.2 -versioon. Hyökkäyksestä raportoi ensimmäisenä Hacker News.

Haavoittuvuus tottelee nimeä Cloack and Dagger ja toisin kuin aikaisemmat tietoturvahaavoittuvuudet, se käyttää hyväkseen Androidin perusominaisuuksia kuten mahdollisuutta julkaista ilmoituksia toisen sovelluksen päälle. Kyseistä ominaisuutta käytetään yleensä pikaviestipalveluiden ilmoituksissa, jotka ilmestyvät muiden sovellusikkunoiden päälle. Toinen ominaisuus liittyy kuulo- ja näkövammaisten käyttöapuun.

Paikkaus vasta syksyllä

Cloack and Dagger mahdollistaa hyökkääjälle esimerkiksi käyttäjän näppäinpainallusten tallentamisen. Haavoittuvuuden myötä hyökkääjä voi myös antaa käyttöoikeuden valitsemalleen sovellukselle. Rikollinen saattaa esimerkiksi huijata käyttäjän kirjautumaan sosiaalisen median tilille. Samalla salasana kaapataan.

Tutkijoiden mukaan paikkausta haavoittuvuudelle on vaikea tehdä, koska Cloack and Daggerin toiminta perustuu Androidin ominaisuuksiin. Google on kertonut, että sen turvajärjestelmät estävät huijaussovellusten päätymisen Play-sovelluskauppaan. Korjaus ongelmaan on yhtiön mukaan luvassa syksyllä, kun Android O -käyttöjärjestelmä julkaistaan.

Käyttäjän kannattaa varotoimenpiteenä poistaa käytöstä Androidin ominaisuus sovellusten oikeudesta piirtää muiden sovellusten päälle. Kyseinen säätömahdollisuus löytyy asetusvalikosta kohdasta Sovellukset.

Cloack and Daggerilta voi suojautua myös lataamalla sovellukset ainoastaan Google Play -sovelluskaupasta. Androidille on tarjolla myös sovelluksia niin sanotuilta kolmansilta osapuolilta. Lisäksi käyttäjän kannattaa tarkkailla, millaisia oikeuksia äskettäin ladatut sovellukset pyytävät. Tutkijat kehottavat valppauteen etenkin vähemmän tunnettujen ilmaisohjelmien kohdalla.

Pauli Reinikainen

pauli.reinikainen@yrittajat.fi