Taloussanomat

Viranomainen neuvoo luopumaan vaarallisista Android-puhelimista: Katso pitääkö sinunkin

Päivitetyt ja uudet puhelimet eivät ole alttiita Stagefrightille, mutta ne ovat vähemmistö Android-puhelinkannasta. Kuvassa uusi Samsung Galaxy S7 Edge, jossa aukkoa ei ole.
Kuva: Henrik Kärkkäinen

18.3.2016 15:05 Oman puhelimen haavoittuvuuden voi tarkistaa Stagefright Detector -sovelluksella.

Viestintäviraston Kyberturvallisuuskeskus suositteli eilisessä kirjoituksessaan luopumaan Android-puhelimista, jotka ovat alttiita Stagefright-aukon Metaphor-hyödyntämismenetelmälle.

Käytännössä tämä tarkoittaisi useimpien Android-puhelimien siirtämistä eläkkeelle, sillä haavoittuvuus koskee paikkaamattomia Android-versioita 2.2–4.0 sekä 5.0–5.1.

– Versionumerot eivät kuitenkaan kerro kaikkea. Omalle puhelimelle on voinut tulla päivitys, huomauttaa Viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Markus Lintula.

Vaarassa ovat silti useimmat ihmisiltä löytyvät Android-puhelimet. Etenkin vanhempiin ja marginaalisempiin malleihin tulee päivityksiä hyvin kitsaasti.

Kyberturvallisuuskeskus suosittelee mahdollisesti haavoittuvan Android-version sisältävän puhelimien omistajien tarkistavan puhelimensa Google Playsta ladattavalla ilmaisella Stagefright Detector -työkalulla. Sovellus kertoo, onko omassa puhelimessa tietoturva-aukko.

Vanhenevien puhelimien suhteen Lintula on tiukka.

– Tilanne on sama kuin Windows XP:n suhteen. Niiden käytöstä tulisi luopua, Lintula sanoo.

Hyökkäyksiä ei ole vielä tapahtunut, sillä israelilaisen NorthBit-tietoturvayrityksen kehittämä hyökkäyskoodi ei ole julkista. Lintulan mukaan on vain ajan kysymys, milloin hämärämiehet saavat kehitettyä vastaavan koodin.

Vaikka Google korjasi asian ohjelmistopäivityksellä, se ei löydä tietään läheskään kaikkiin puhelimiin.

Onko koko Android-ekosysteemi muuttunut tämän myötä turvattomaksi?

– Tämän myötä riski on huomattavasti kasvanut. Kun hyökkäyskoodi on valmis, haavoittuvat laitteet voidaan murtaa nopeasti, Lintula muotoilee.

– Kun puhelin joutuu hyökkääjien käsiin, siitä voidaan esimerkiksi varastaa kaikki tiedot, siihen voidaan asentaa haittaohjelmia ja laittaa puhelin vaikka soittamaan maksullisiin palvelunumeroihin, Lintula jatkaa.

Metaphor-hyökkäyksen voi tehdä paitsi verkkosivuilta käsin, myös lähettämällä uhrille multimediaviestin tai sähköpostiviestin. Tällaisen hyökkäyksen voi saattaa saada aktivoitumaan ilman mitään käyttäjän tekemää toimenpidettä, mutta asiasta ei ole vielä täyttä varmuutta. Alkuperäisessä Stagefright-mms-haavoittuvuudessa ei edellytetty käyttäjän toimia.

Jutun kirjoitti: Henrik Kärkkäinen

Henrik Kärkkäinen

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (156)

Sivut: 1 2 3 4 5 6 ... 16
EdellinenSeuraava

Anonyymi
Saastuneen Android-puhelimen huomaa siitä, että sen valokuva-gallerian kuvan päälle tulee kirkas turkoosin värinen outo päivämäärä muutamaksi sekunniksi näkyville, kun selaa kuvia.
Anonyymi: Tarkastusvinkki 18.3.2016 15:29

Anonyymi
Jännästi android 4.4 (kitkat) jätettiin turvalliseksi.
Anonyymi: miksi 18.3.2016 15:39

Anonyymi
Ongelman ratkaisu taisi olla, ettei käy hämärillä sivustoilla kännykällä. Mieluummin toki ei käy netissä ollenkaan kännykällään.
Anonyymi: rappara 18.3.2016 15:40

Anonyymi
mä oon luopunu jo ei ole koskaan ollu antroid puhelinta.
Anonyymi: kepuli 18.3.2016 15:41

Anonyymi
Joo, kyllä nyt heti lähden kauppaan ostamaan uuden puhelimen!

Tai sitten en.
Anonyymi: BottivarmistusOli29 18.3.2016 15:42

Anonyymi
Kiitoksia digitoday, vihdoinkin uutinen on sellaisessa muodossa, että sillä on totuusarvoa. Tosin olisi ollut mielenkiitoista, jos olistte pystyneet selvittämään ainakin muutamia puhelinmalleja, joita tämä haavoittuvuus koskee yhä. Aikaisemmissa uutisissa on mainittu useita puhelimia, joista tiedän ainakin osan paikatuiksi.

Toinen selvitettävä asia on että keillä sellaisia puhelimia on käytössä ja mitä puhelimen kaappauksella pyritään tekemään ja saavutetaan. Tiedän jo nyt esim. Googlen ja muidenkin mainostajien käyttävän puhelintani sellaiseen mitä en haluaisi, mutta annan heidän kuitenkin jatkaa, jotta saan sellaista vastinetta johon olen tyytyväinen.

Esim. kiristyshaitakkeen uhan takia ei kannata uusia puhelinta etukäteen. Kunhan varmuuskopioit tarpeelliset tiedot saat ne siirrettyä uuteen vasta uhan realisoituessa. Kannattaako lasten puhelin vaihtaa sen takia, että se ehkä voidaan kaapata? Samalla periaatteella lapselle ei kannata antaa tikkaria? Eli keitä tämä uhka oikeasti koskee?
Anonyymi: Pena123 18.3.2016 15:44

Anonyymi
On se vaan hirmuisen vaarallinen maailma tuo Antroiti maailma. Hus hus kauppaan ostamaan joku turvallinen puhelin.
Anonyymi: Antroiti 18.3.2016 15:45

Anonyymi
Ongelman ratkaisu taisi olla, ettei käy hämärillä sivustoilla kännykällä. Mieluummin toki ei käy netissä ollenkaan kännykällään.


Siinähän se ongelma olikin, että haitake voi levitä esim digitoday sivuston mainosten avulla tai mms-viestien mukana. Eli ei tarvitse mennä hämärille sivuille.
Anonyymi: Pena123 18.3.2016 15:48

Anonyymi
Ongelman ratkaisu taisi olla, ettei käy hämärillä sivustoilla kännykällä. Mieluummin toki ei käy netissä ollenkaan kännykällään.


Mikäs se semmoinen älypuhelin?
Pitäisikö Android puhelimet nimetä uudestaan vaikkapa nimellä älyttömät puhelimet.
Anonyymi: ÄlypuhelinKo 18.3.2016 15:49

Anonyymi
Ongelman ratkaisu taisi olla, ettei käy hämärillä sivustoilla kännykällä. Mieluummin toki ei käy netissä ollenkaan kännykällään.

Siinähän se ongelma olikin, että haitake voi levitä esim digitoday sivuston mainosten avulla tai mms-viestien mukana. Eli ei tarvitse mennä hämärille sivuille.


Ainahan nuo Androidi käyttäjät voivat siirtyä johonkin turvalliseen vanhaan simpukka puhelimeen. Ja sen Androidin voi vaikkapa pitää takataskussa varalla jos pelihimo yllättää tai tarvitsee jotain pieru appsia.
Anonyymi: Kettuiluako 18.3.2016 15:54
Sivut: 1 2 3 4 5 6 ... 16
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti Yöaikaan lähetetyt kommentit päätyvät toimituksen tarkistettavaksi. Kommentit tarkistetaan ja hyväksytään seuraavan päivän aikana. Muina aikoina viestit ovat jälkimoderoinnissa.
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday


2013

Kolme vuotta sitten

Nokian Banditin oikea nimi paljastui

27.08.2013 Nimimerkki evleaks paljasti nimen tuttuun tapaan Twitterissä.

.