Taloussanomat
Lue uutinen mobiilisivustolla

Salakuuntelu uhkaa Android-puhelimia

2.12.2011 16:01 Uusi Android-huoli koskee eri puhelinmallien heikkoa lupakäytäntöä. Rikolliset pystyvät tutkijoiden mukaan monenlaiseen tihutyöhön.

Android-puhelinten tietoturva on asetettu taas kyseenalaiseksi. North Carolina State Universityn tutkijat Yhdysvalloissa penkoivat puhelinten lupiin perustuvaa tietoturvamallia.

Testipenkissä oli kahdeksan Googlen Android-käyttöjärjestelmää käyttävää mallia Samsungilta, HTC:ltä, Motorolalta ja Googlelta. Puhelinten sovellusten pitäisi tehdä vain se, mihin ne ovat pyytäneet ja saaneet luvan. Käytännössä tilanne on tyystin toisenlainen.

Tutkijat löysivät
(pdf) merkittäviä vuotoja, joiden myötä hyökkääjät pystyvät ohittamaan puhelinten avainpuolustuksen. Sen jälkeen on mahdollista esimerkiksi tuhota käyttäjätietoja, lähettää tekstiviestejä kalliisiin numeroihin, tallentaa keskusteluja tai vakoilla käyttäjän sijaintia.

Useat vaarallisiksi luokiteltavat luvat ovat turvattomasti ulkopuolisten sovelluksien käytettävissä. Tutkimuksesta raportoiva tietoturvayhtiö Sophos huomauttaa, että ongelmia ei etsitty itse Androidista, vaan puhelimiin valmistajien asentamista käyttöliittymistä ja palveluista.

Kokonaan oma asiansa on, miten kolmansien osapuolten sovellukset, joita esimerkiksi Android Marketissa tarjotaan, pärjäisivät tutkijoiden syynissä.

Android-puhelinten tietoturva on kyseenalaistettu laajemmin viime aikoina. Bit9-niminen yritys teki listan 12 haavoittuvimmasta älypuhelimesta, jotka olivat kaikki Android-malleja.

Google on puolustanut Androidin tietoturvaa ja pitänyt niille tarjottuja virustorjuntaohjelmistoja turhakkeina.

PdfTutkimusraportti
VerkossaSophoksen blogikirjoitus
Jutun kirjoitti: Tuomas Linnake

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (88)


Anonyymi

Oletko nyt varma, että matkapuhelinverkon kautta surffaillessa saat sijaintini selville ip:llä? Vai olisitko itse vähä-älyisempi, mitä luulet?


Luuletko tosiaan olevasi joku nero?

Sun kännykkä on yhteydessä soluun, jonka GPS sijainti tiedetään kaikkien osalta, sun operaattori on jakanut osan IP-avaruutensa eri soluille, kun tiedetään IP, tiedetään solu, kun tiedetään solu, tiedetään GPS sijainti solun kantomatkan tarkkuudella eli yleensä n. 2km alueelta.

Ei ole väliä oletko puhelinlinjoja, kaapelia, sateliittia tai kännykkäverkkoja käyttämässä internetyhteyteen, jos laite saa IP:n niin sen sijainti tiedetään hyvinkin tarkkaan.

Painu neropatti muualle
Anonyymi: Nimetön 3.12.2011 2:31

Anonyymi
NOKIA se olla pitää. Ei mitään MONGOLIASSA tehtyjä läpysköjä.
Anonyymi: jarmoxx69 3.12.2011 5:57

Anonyymi
Käyttäjä tuskin huomaa jos rikolliset panevat puhelimen vain harvoin soittamaan maksulliseen numeroon, ahneille rosvoile tulee ongelmia mm. rahat saattavat jäätyä matkalle ja miljoona saalis jää saamatta.

Siis ryöstä vain euro / puhelin;)

Käyttäjät laittavat puhelimiin mitä vain jos oikein mainostaa.
Anonyymi: Huhuu vai lankapuhel 3.12.2011 7:17

Anonyymi
"Operating System eli käyttöjärjestelmä on synonyymi Kernelille."

Höpö höpö. Selvitä nyt vihdoinkin itsellesi kernelin ja käyttöjärjestelmän ero. Kyllä minun linuxdistrossa on monoliittinen kernel mutta kyllä sen päälle on täytynyt asentaa monia monia sovelluksia, muunmuassa LibreOffice ohjelmapaketti ei ole kernelin osa. Samoin olen asentanut linuxdistrooni VLC:n mediaplayerin joka sekään ei ole kernelin osa. Ei kannata puhua mistään "synonyymistä". Kyllä linuxdistro tarvitsee muutakin kuin kernelin.
Anonyymi: linuxisti 3.12.2011 9:52

Anonyymi
Tuo on kyllä totta. Android kyseli selaillessa, saako antaa sivulle paikkatiedot - ei. Silti webbisivulla osattiin paikallistaa meikä oikeaan kaupunkiin.

HAHAHAHAHAHA

Ei hitto olet tyhmä.

IP osoitteen avulla pystytään paikantamaan käyttäjä kaupungin, kaupunginosan ja joskus jopa kadun tarkkuudella.

Mitään paikannusta ei tarvitse käyttäjältä kysellä millään tietokoneella.


No onpa tämäkin nyt sitten kommentti. Entä jos olen erämaassa, lähimpään 3g-tukiasemaan 5 km, mutta siitä huolimatta saan datakuson kulkemaan. IP-osoitteellako minut paikannetaan. Kyselyt koskevat myös mahdollista gps-paikannusta.
Anonyymi: yx-vaan 3.12.2011 10:39

Anonyymi
Oletko nyt varma, että matkapuhelinverkon kautta surffaillessa saat sijaintini selville ip:llä? Vai olisitko itse vähä-älyisempi, mitä luulet?

Luuletko tosiaan olevasi joku nero?

Sun kännykkä on yhteydessä soluun, jonka GPS sijainti tiedetään kaikkien osalta, sun operaattori on jakanut osan IP-avaruutensa eri soluille, kun tiedetään IP, tiedetään solu, kun tiedetään solu, tiedetään GPS sijainti solun kantomatkan tarkkuudella eli yleensä n. 2km alueelta.

Ei ole väliä oletko puhelinlinjoja, kaapelia, sateliittia tai kännykkäverkkoja käyttämässä internetyhteyteen, jos laite saa IP:n niin sen sijainti tiedetään hyvinkin tarkkaan.

Painu neropatti muualle


Tukiaseman paikka tiedetään ilman gps-signaaliakin, ja sille voidaan dedikoida ip-osoitteet. 2g/3g-verkko välittää paikkatiedot aivan omilla protokollillaan. Gps tulee kuvaan mukaan vasta kun halutaan paikantaa loppukäyttäjä..ja hyvä niin.
Anonyymi: yx-vaan 3.12.2011 10:47

Anonyymi
Tosin iPhonestakin se paikkatieto lähtee.

==> Siis ainoaksi vaihtoehdoksi jää lankapuhelin.


Ja luuletko ettei lankapuhelimen sijaintia saa selville numeron perusteella? Jo suuntanumero antaa summittaisen sijainnin.
Anonyymi: Jarno 3.12.2011 10:58

Anonyymi
Kaikista IP-osoitteen omaavista asioista saa summittaisen paikkatiedon, koska IP-osoitteet on rekisteröity jollekin johonkin tietyyn paikkaan. ISP A toimii alueella B, joten kaikki ISP A:n ip-osoitteet asiakkaille ovat alueelta B.
Anonyymi: Nimetön 3.12.2011 11:42

Anonyymi
Tosin iPhonestakin se paikkatieto lähtee.

==> Siis ainoaksi vaihtoehdoksi jää lankapuhelin.


Ja luuletko ettei lankapuhelimen sijaintia saa selville numeron perusteella? Jo suuntanumero antaa summittaisen sijainnin.


Summittainen sijainti todellakin.

Otetaan vaikka 03 suuntanumero, joka on Pirkanmaalla. Loppuosa ei kerro sijaintia, koska se on ollut täysin mukana siirrettävä, kun on muuttanut 03 alueen sisällä. Kun numero on vielä salainen ei sijaintia kovin tarkasti voi saada selville.

Eli voi päätellä soittajan olevan esim. Tampereella, Nokialla, Kangasalla tai vaikka Hämeenlinnassa. Ei tunnu kovin tarkalta.
Anonyymi: Aarpuilla 3.12.2011 11:55

Anonyymi
Ihan asetuksista kiinni.Itsellä vain Tab joka Android.En käytä kuin nettiä eli kalliita tekstiviestejä ei lähde...laitoin tekstiviestikeskuksen numeroksi 123456.:=)Samoin sim kortti on ainoastaan nettiin eli sen voi säätää operaattorin kanssa.Eli ei puheluita mihinkään.Samoin ei ole pakko ruksia asetuksissa jotta lähetä tietoja googlelle taio paikanna koko ajan ja lähetä tiedot.Kaikki löytyy asetuksista ja lisäohjelmia on olemassa joilla estetään turhakkeet.Samoin Nortonin viirusturva on ja on kylläkin jo 4 kertaa plogannut jotain???Eli voi jotain viiruksia liikenteessä olla.

Kaikkea voidaan vakoilla jos ei välitä tutkia puhelimen asetuksia.Moni vaan heittää sim kortin kiinni eikä tutustu puhelimeensa ollenkaan ja ihan oikein jos niille tulee ongelmia.Älypuhelin on tarkoitettu älykkäille ihmisille vain:=)
Anonyymi: Asetukset kuntoon. 3.12.2011 12:00
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2009

Viisi vuotta sitten

IBM:n raportti: turvallisia verkkosivuja ei enää ole

02.09.2009 Verkkorikolliset piilottavat haitallisia linkkejä ja sovelluksia yhä useammin luotetuille verkkosivuille, sanoo IBM:n tietoturvaraportti.


2011

Kolme vuotta sitten

Tuomari alentaisi SAP:n piratismisakkoja miljardilla

02.09.2011 Tuomari ei hyväksynyt 1,3 miljardin dollarin huipputuomiota ohjelmistojätti SAPia vastaan, kertoo Bloomberg.

.