Tietoturvayritys Kryptowire varoittaa Samsungin puhelimista löytyneen vakavan haavoittuvuuden, joka mahdollistaa hyökkääjälle käsiksi pääsyn puheluiden soittamiseen, sovellusten asentamiseen ja poistamiseen, ohjelmistojen ajamiseen taustalla ja jopa puhelimen tehdasasetusten palauttamiseen.
Haavoittuvuus koskee käytännössä kaikkia korealaisvalmistajan älypuhelimia, joiden sisällä on Android 9 tai uudempi käyttöjärjestelmä ja sen aiheuttaa valmistajan puhelinsovelluksesta löytynyt tietoturvapuute.
Kryptowire on löytänyt haavoittuvuuden alun perin viime vuoden marraskuussa ja varoittanut myös Samsungia aiheesta. Korealaisjätti puolestaan on julkaissut tilanteen korjaavan päivityksen helmikuussa. Samsungin puhelinten omistajien kannattaakin päivittää laitteensa ajan tasalle.
Lähde: Kryptowire, Android Authority
Eli ei koske about ketään, joka edes joskus päivittää puhelintaan.
Onko tämä ennen vai jälkeen sen tietomurron? En nyt jaksa kaivaa uutisista.
Lapsus$:n tietomurto Samsungille tapahtui (tai ainakin siitä uutisoitiin) vasta maaliskuun alussa, eli tämän Kryptowiren viime vuoden puolella löytämän tietoturvariskin Samsung oli korjannut jo ennen sitä.
Silleen hämmentävä kyllä toi samsungin 25.2.2022 julkaistu päivitys, että siinä ”Tietoturvapäivitysten taso” on 1.1.2022
Eli ilmeisesti asia pitää tulkita niin että jos puhelin näyttää ohjelmistopäivityksen tiedoissa, että tietoturvapäivitysten taso on 1.1.2022 (tai uudempi) niin sitten asia on kunnossa.
Tietoturvapäivityksillä taidetaan viitata Googlen tietoturvakorjauksiin, joita julkaistaan paketteina kuukausittain. Voin toki olla myös tuon Samsungin ilmaisutavan tulkinnasta väärässä.
Tietoturvapäivityksillä taidetaan viitata Googlen tietoturvakorjauksiin, joita julkaistaan paketteina kuukausittain. Voin toki olla myös tuon Samsungin ilmaisutavan tulkinnasta väärässä.
Samsung on korjannut uutisen haavoittuvuuden CVE-2022-22292 helmikuun tietoturvapäivityksessä.
Alla vielä informaatiota, miten tietoturvapäivitykset toimivat.
Toki yksinkertainen ratkaisu on käskeä puhelin tarkistamaan päivitykset ja jos uudempaa ei löydy niin sitten se on ajan tasalla.
Mikähän luuri kyseessä? Ainakin omassa S20 FE 5G on 1 March (maaliskuu) tietoturvapäivitykset tulleet 25.3 päivityksessä mukana…
Päivitin myös vähän postaustani ja tuo kuukauden viive ajatus tuli tuosta FlyingAnteron viestistä.
Tuo A80 näkyy olevan todella hitaalla päivitys kierroksella enään, eli kahdesti vuodessa.
Nää Android-päivitykset tuntuu olevan aika vaikea asia ihan yritystenkin tukihenkilöille. Mun oma puhelin poistui päivitysten piiristä jo viime vuonna, mutta kukaan ei ole firmasta ei ole mulle tyrkyttänyt uutta puhelinta. Olen tästä asiasta ihan kysynytkin tuesta, mutta eipä ole tullut juuri ymmärrystä. Eli Samsungilla taitaa olla kolme tasoa päivitysten suhteen, joista kuukausittaiset on se paras (ja Google julkaiseen päivitykset kuukausittain) ja ehkä puolivuosittainen se huonoin eli voi mennä 6kk ennenkuin puhelimeen tulee päivitys, jos se edes on vielä tuen piirissä.
Ja siis sammobile pitää listaa yllä, kuinka usein puhelimet saa päivityksiä. https://www.sammobile.com/samsung/samsung-galaxy-security-updates
Ainakin omaan luuriin S10e tulee joka kuukausi tietoturvapäivitykset ja marraskuun pävitykset on jo tullut.
Ihan hyvä 3 vuotta vanhalle puhelimelle.
Tablettipuolella taas on päivitystahti heikko ei ole vielä tänä vuonna tullut yhtään.
Samsungilla on listattu niiden omilla sivuilla päivitystahti. Eli käytännössä uudet puhelimet keskiluokasta ylöspäin saavat päivityksiä joka kuukausi. Alemmassa hintaluokassa tai vanhempien puhelimien kohdalla tahti on 3kk tai 6kk. Esim. Galaxy S10 mallit tippuivat juuri tuohon 3kk sykliin. Vähän aikaa sitten olivat vielä joka kuukausi tahdissa.
Onneksi käytössäni on nykyaikainen Samsung vuodelta 2016 Android 8.0:lla. Vaihtoon menee varmaan kun akku tai puhelin sanoo hyvästit. Itseasiassa pidän tästä ulkoisesti enemmän kuin nykyisistä puhelimista ilman fyysisiä painikkeita. Puhelimet kiinnosti ennen ensimmäisen iPhonen julkaisua kovasti, sen jälkeen oli toki kiva kun alkoi tulla käyttökelpoista internetin käyttöä ja kameraa. Nykyään se on vain arjen väline.
Onneksi ei koske oneplussan puhelimia. Kyseinen firma ei ole saanut yhtään toimivaa päivitystä puoleen vuoteen ulos. Muuten ehkä tarttis olla huolissaan.
CVE-listat joutuisi koostamaan itse kun ei esim. kernel-julkaisuissa listata changelogissa CVE-merkintöjä, esim. täällä. Uutissivutkaan eivät aina listaa. Valmistajilla on vielä sitten omat kernelit, joihin manuaalisesti siirretään muutoksia mainlinestä. Samaa koostamista joutuu tekemään muistakin lähteistä.
Ilmeisesti korjaavia tarjotaan vain uudempaan Android versioon, eli käyttäjän pitää tehdä sukupolvi päivitys. (Joo, suositus käyttää myös uusinta sukupolvea, mutta kun niissä tulee käyttäjälle ei toivottuja "ominaisuuksia" )
Jäi vähän ilmaan missä ongelma, kuinka kova riski, uutisen lähteessä kerrottiin jotain.
"thanks to the pre-installed Phone app that has an “insecure component.” Because the Phone app runs with system privileges,"
Puhelin sovelluksessa bugi, sitä ei ilmeisesti voi erikseen päivittää, eikä ihan avautunut miten hyökkäystä vastaan voi suojautua, onko väärennetty tuleva puhelinnumero, "virheellinen" kohde numero, vai jotain vaikeampaa?
Riippuu firmasta, ja osassa myös tehtävästä.
Jos puhelimella käsitellään GDPRn alaisia henkilötietoja niin eiköhän ne ole jonkinlaisessa laitehallinnassa. Yleensä "pakko" tulee sillion kun firman sähköposti, kalenteri, osoitekirja puhelimessa käytössä. Sen jälkeen ei pitäisi olla vaikeita, eli jos kohtuullinen hallinta, niin yllöpidolla on tarkkaan saatavilla tiedot mitä laitteita, versioita ja mitkä päivitykset. Jos ylläpito saa käyttämistään laitteista tieturva varoituksia, niin voivat reagoida tarvittaessa nopeasti. Jos laitteet hallittuja, niin usein köytössä rajoituksia joilla parannetaan tieturvaa markittävästi.
Osalle työpuhein on lähinnä työsuhde-etu, millä myös hoidetaan firman puhelut, ei edes haluta valvontaan, jolloin vastuu on käyttäjällä.
Työantajan pitäisi kuitenkin ymmärtää että jos se työntekiä soittelee sillä jotain muita kuin omia asioita niin nopeasti firman riskit ja vastuut kasvaa, eli velvollisuudet suojella.
Selkeästi asia on sanottu tuossa CVE tiedotteessa:
Unprotected dynamic receiver in Telecom prior to SMR Feb-2022 Release 1 allows untrusted applications to launch arbitrary activity.
The patch adds a proper permission for dynamic receiver.
Ja jos vähän edes Googlettaa asiaa, niin:
The vulnerability resides in the pre-installed Phone app that executes with system privileges on Samsung devices. Experts pointed out that the Phone app has an insecure component which allows local apps to perform privileged operations without any user interaction.
“The vulnerability could give attackers the ability to initiate a factory reset (i.e., deleting all user data), make phone calls (including to emergency numbers such as 911), install/uninstall apps, weaken HTTPS security by installing arbitrary root certificates, all from untrusted apps running in the background and without end-user approval.”
Eli mikä tahansa sovellus voi sen kautta saada luuriin täydet oikeudet, eli melkoisen vakava, jos ei saa korjattua.
Tämä on tieten ainoastaan Samsungin ongelma, koska käyttää omaa Puhelin sovellusta, ainakaan en ole löytänyt tietoa, että samainen reikä löytyisi muiden merkkien luureista?
Ymmärsinkö oikein, vaatii esim. käyttäjältä sen haittaohjelman asennuksen.
Eli ei haitallisen ohjelman kautta ei voi tuohon aukkoon hyökätä ?
Kyllä siis vaatii käyttäjältä jonkin sovelluksen asentamisen, mutta tähänkin on monia keinoja, joihin mennään lankaan ja asennellaan ties mitä sovellusta ajattelematta. Ja ikävä kyllä välillä sieltä Play kaupasta löytyy näitä ilkeitä sovelluksia jälkikäteen, joita asennettu miljooniin puhelimiin ja seassa varmasti on Samsungin luureja, joissa ei tuota ole päivitetty.
Kyseessä siis on todella vakava reikä…
Tämä tärkeä tieto, siis varsinkin heille joilla on päivittämätön laite tai jostain syystä eivät halua tässä välissä päivittää.
Eli ei tarvi panikoida.
Tuota pohtiessa sitä varmistelen sitä että vaatiiko sitä että ohjelmaan täytyy olla vartavasten koodattu se hyökkäys menetelmä.
Eli varmistelin sitä että tosiaan vaatii käyttäjän toimia.
Ei siitä kovin pitkää aikaa ole kun ihmisillä tuollaisia tietokoneita oli, siis oletus taso oli sitä luokkaa että ohjelmat pysty tekemään melkein mitä vaan.
Moni elää vielä tänä päivänäkin sillä varovaisuudella että ei luotettu ohjelma voi tehdä mitä vain, ja luotetun kohdalla todennäköisesti tekee jotain ei toivottua, mutta ei liianpahaa. saati tuhoaisi dataa.
Turvallisuuden kasvamisessa on se seuraus että enään ei toimi kaikki halutut ohjelmat halutulla tavalla, tai ei kaikkia haluttuja toiminta voi toteuttaa.