Googlen viimeisin tietoturvapäivitys korjasi Androidista 42 haavoittuvuutta – kolme vakavaa haavoittuvuutta Qualcommin WLAN-komponenteissa

[Diizzel]

Googlen viimeisin tietoturvapäivitys Android-käyttöjärjestelmälle on korjannut kaiken kaikkiaan 42 haavoittuvuutta, joista neljä on luokiteltu kriittiseksi ja näistä neljästä kolme pohjautuvat Qualcommin WLAN-komponentteihin. Yhtäkään päivityksessä korjatuista haavoittuvuuksista ei ole havaittu hyödynnettävän ennen päivityksen julkaisua.

Qualcommin WLAN-komponenttien haavoittuvuudet ovat liittyneet yhteyden muodostuksen alkuvaiheisiin ja pahimmillaan ne olisivat voineet mahdollistaa haitallisen koodin ajamisen puhelimessa. Neljäs kriittinen haavoittuvuus oli puolestaan löydetty Frameworkista.

Lähde: Malwarebytes

 

[pulssi]

Enää tarvittaisiin puhelinvalmistajia, jotka jakelisivat nämä säädyllisessä ajassa. Omassa Oneplussassa asennettuna tuorein tarjolla oleva, eli kesäkuu.

 

[neko]

Samsung on petrannut viime aikoina syyskuussa taisi tulla kolme päivitystä ja lokuussa tullut jo yksi. S21 Ultra kännynä.

 

[demu]

Olen aina ihmetellyt, kun käyttöjärjestelmistä (niin PC kuin mobiilit), selaimista ja sovelluksistakin vähän väliä korjataan haavoittuvuuksia, aukkoja ja bugeja.
Ja yleensä korjataa suuri joukko kerrallaan (kuten tässä 42 kpl).
Varmaan noita aukkoja on Windowsin, selainten tai androidin kohdalla korjattu satoja tai tuhansia kustakin (vai onko jo kymmeniä tuhansia?).

Tehdäänkö noita haavoittuvuuksia käyttöjärjestelmäpäivitysten yhteydessä koko ajan lisää, vai onkohan noissa vielä satoja tai tuhansia haavoittuvuuksia lisää odottamassa hakkereita?

 

[jessus]

Valitettavasti eipä ole monella luurivalmistajilla kiire tuoda tätä. Moni käyttäjä saa tämän joskus ensivuoden puolella, osa ei saa ikinä vaan pitää ostaa uusi luuri. On tämä Android maailma ihmeellistä. Windows puolella kaikki saa päivitykset sillä hetkellä kun Mikkis ne laittaa jakoon.

Tehdäänkö noita haavoittuvuuksia käyttöjärjestelmäpäivitysten yhteydessä koko ajan lisää, vai onkohan noissa vielä satoja tai tuhansia haavoittuvuuksia lisää odottamassa hakkereita?

Osa on siellä odottamassa löytäjäänsä. Osa tehdään vahingossa kun koodia päivitellään.

 

[FlyingAntero]

Itse näkisin, että päivitysten aikataulu ei ole niin kriittinen vaan, että päivitykset ylipäätänsä tulevat. Tässä tapauksessa aukkoja ei ole tiettävästi hyödynnetty, niin käyttäjät ovat kohtalaisen turvassa, jos päivitykset tulisivat esim. 3kk:n sisällä. Tietysti aina on parempi mitä nopeammin päivitykset saapuvat mutta mielestäni oleellista on saada kasvatettua Android-laitteiden tietoturvatuki sinne EU:n ehdottamaan viiteen vuoteen saakka (mikä Applella ollut käytännössä aina ja jopa pidempään).

• Kova säädösluonnos EU:sta: älypuhelinten saatava jatkossa kolme vuotta käyttöjärjestelmä- ja viisi vuotta tietoturvapäivityksiä

Treblen myötä päivitysten tekeminenkään ei ole enää valmistajille mahdottomuus, vaikka mm. piiritoimittaja ei aktiivinen olisikaan. Custom ROM puolella vanhojen laitteiden tukeminen on onnistunut jo ennen Trebleä, niin miksei se onnistuisi valmitajilta Treblen avustuksella entistä helpommin. Tällä hetkellä 5v tukea tarjoavat vain Google ja Samsung (Applen lisäksi), joskaan eivät kaikille malleille.

• Kommentti: Hävetkää, puhelinvalmistajat!

Syyskuun lehdessä käsitelty LineageOS on hieno projekti, mutta liian hankala keskivertokäyttäjän asennettavaksi

Mieleen tuleekin, että kun kerran joukko vapaaehtoisia pystyy vuodesta toiseen tukemaan ikivanhoja laitteita uusilla ohjelmistoversioilla, miksi ihmeessä puhelinvalmistajat eivät tee samoin?

PS. Xperia XZ1 Compact (2017) rokkaa Android 12L ja heinäkuun tietoturvapäivitykset sisässä Custom ROM:lla. Eiköhän uudempaan päivitystä ole vielä luvassa.

• Saako neljä vuotta vanhasta puhelimesta vielä käyttökelpoisen? (Android 11 päivitys, tallennustilan kasvattaminen ja kameran optimointi)

 

[jessus]

Itse näkisin, että päivitysten aikataulu ei ole niin kriittinen vaan, että päivitykset ylipäätänsä tulevat. Tässä tapauksessa aukkoja ei ole tiettävästi hyödynnetty, niin käyttäjät ovat kohtalaisen turvassa, jos päivitykset tulisivat esim. 3kk:n sisällä.

Mutta kuinka paljon tällaiset kriittiset haavoittuvuudet ovat valmistajan itsensä löytämiä, eivät rikollisten, ja siten myös pahantekijöiden tietämättömissä kunnes bugi on paikattu ja he julkaisevat löydön vasta tällöin? Tällaisessa tilanteessa kaikki tieto haavoittuvuudesta on juuri nyt rikollisten tiedossa ja jokainen hetki tästä päivästä alkaen ennekuin valmistaja viitsi patchin ajaa luureihinsa on pontentiaalista aikaa hyökkääjille hyödyntää tätä.

En ole tietoturva-alalla, mutta jotenkin olen ymmärtänyt, että nämä uhat johtuen haavoittuvuuksista ovat pääosin olleet "teoreettisia" eikä niitä ole, ainakaan suuressa mittakaavassa, hyödynnetty ja edelleen paras ja yleisin tapa rikollisille kerätä rahaa on perinteisesti huijata osaamaton käyttäjä valesivulle ja kalastella pankkitunnuksia: Pankki syytti uhreja, kun pariskunta menetti huijarille 45 000 euroa – ”Ei voi sanoin kuvata, miltä se tuntuu”

 

[FlyingAntero]

Mutta kuinka paljon tällaiset kriittiset haavoittuvuudet ovat valmistajan itsensä löytämiä, eivät rikollisten, ja siten myös pahantekijöiden tietämättömissä kunnes bugi on paikattu ja he julkaisevat löydön vasta tällöin? Tällaisessa tilanteessa kaikki tieto haavoittuvuudesta on juuri nyt rikollisten tiedossa ja jokainen hetki tästä päivästä alkaen ennekuin valmistaja viitsi patchin ajaa luureihinsa on pontentiaalista aikaa hyökkääjille hyödyntää tätä.

En ole tietoturva-alalla, mutta jotenkin olen ymmärtänyt, että nämä uhat johtuen haavoittuvuuksista ovat pääosin olleet "teoreettisia" eikä niitä ole, ainakaan suuressa mittakaavassa, hyödynnetty ja edelleen paras ja yleisin tapa rikollisille kerätä rahaa on perinteisesti huijata osaamaton käyttäjä valesivulle ja kalastella pankkitunnuksia: Pankki syytti uhreja, kun pariskunta menetti huijarille 45 000 euroa – ”Ei voi sanoin kuvata, miltä se tuntuu”

Todennäköisyys joutua hyökkäyksen kohteeksi jonkin tuoreen haavoittuvuuden kautta on melko pieni. Yleensä pelkkä haavoittuvuus ei edes riitä vaan käyttäjältä saatetaan vaatia varomattomia toimia. Tai ainakin sellaisten haavoittuvuuksien kohdalla, mitä hyödynnetään laajasti.

Esim. DirtyCow oli vaarallinen haavoittuvuus (root oikeudet) mutta vaati käytännössä sovelluksen asentamisen epämääräisestä lähteestä. Lisäksi haavoittuvuutta hyödyntävät haitalliset sovellukset lähtivät yleistymään vasta vuoden päästä korjauspäivityksen saapumisesta. Käytännössä siis ne laitteet jäivät alttiiksi, jotka eivät saaneet päivitystä ollenkaan.

• In a first, Android apps abuse serious “Dirty Cow” bug to backdoor phones

Vastaavasti BlueBorne ja KRACK haavoittuvuudet eivät vaatineet käyttäjältä erikseen toimia. En kuitenkaan ole nähnyt raportteja, että haavoittuvuutta olisi käytännössä hyödynnetty yhtä laajasti kuin DirtyCow:ta (vaikka alttiita laitteita oli enemmän). Lähinnä tulee mieleen räätälöidyt hyökkäykset yrityksiä tai korkeassa asemassa olevia henkilöitä vastaan.

Eli kunhan käytössä ei ole vuosia vanha ohjelmisto ja jonkin verran järkeä päässä, niin pitäisi olla aika hyvin turvassa. Jättää vain sovellukset asentamatta Play Kaupan ulkopuolelta ja pysyy poissa epämääräisiltä sivustoilta (kaikkia ruudulle ilmestyneitä ok painikkeita ei kannata klikata sokeasti).

 

[Taneli-]

Valitettavasti eipä ole monella luurivalmistajilla kiire tuoda tätä. Moni käyttäjä saa tämän joskus ensivuoden puolella, osa ei saa ikinä vaan pitää ostaa uusi luuri. On tämä Android maailma ihmeellistä. Windows puolella kaikki saa päivitykset sillä hetkellä kun Mikkis ne laittaa jakoon.

Siinä on vaan se että Windows puhelimia myydään vähäisempiä määriä. Jos niitä enää uutena mistään löytääkään, kait niitä vielä saa mutta en silti henkeä tietoturvan jne. puolesta pidättelisi...

 

[Infy]

Onhan noita todella vakavia bugeja ollut, hyvin harvinaisia onneksi ovat. Esim. Stagefright (bug) - Wikipedia bugissa vuodelta 2015. Se oli melkein kaikissa Android luureissa reikä, jossa MMS-viestillä pystyttiin ajamaan hyökkääjän koodia laitteessa ilman, että käyttäjältä vaadittiin toimenpiteitä.

Toinen asia on nämä kaupalliset yritykset joiden busineksenä on kaivella laitteista tietoturva-aukkoja ja myydä tai hyväksi käyttää niitä itse. Esim. Isaelilaisen NSO Groupin valtioille myymä vakoilusofta, jolla pystyi vakoilemaan iPhone luureja etänä, ilman että käyttäjä olivat siitä mitenkään tietoinen.

 

[Ezzy]

Valitettavasti eipä ole monella luurivalmistajilla kiire tuoda tätä. Moni käyttäjä saa tämän joskus ensivuoden puolella, osa ei saa ikinä vaan pitää ostaa uusi luuri. On tämä Android maailma ihmeellistä. Windows puolella kaikki saa päivitykset sillä hetkellä kun Mikkis ne laittaa jakoon.

Niin siis Android-puolellahan vastaava on Googlen omat Pixel-puhelimet, vika ei ole varsinaisesti Androidissa, vaan rahan perässä juoksevien luurivalmistajien. Päivittäminen maksaa rahaa. Pixeleihin päivitykset tulevat nopeiten ja niitä tulee 4-5 vuoden ajan. Valinnanvaraa kyllä löytyy. Isoa osaa käyttäjistä ei vaan kiinnosta pätkääkään päivitykset tai tietoturva.

 

[jessus]

Niin siis Android-puolellahan vastaava on Googlen omat Pixel-puhelimet, vika ei ole varsinaisesti Androidissa,

Kyllä ja ei, tai oikeastaan on Androidin vika ja on valmistajien vika.

Microsoft myy tietokoneita itsekkin, mutta samalla hetkellä kun MS Surface Book saa Windows 10/11 updaten, niin Acerit, Asukset ym. kymmenet muut valmistajat päivittyvät myös.

Google toki ajaa omiin pikseleihinsä päivitykset nopeasti, mutta Androidin rakenteesta johtuen edelleen pitää odottaa että valmistaja ajaa sen Android päivityksen sinne omaan pakettiinsa. Eli valmistajat ovat laiskoja ja rahan ahneita eikä tuohon kiinnosta palkata koodareita mitä tarvittaisiin, mutta voisihan Androidin rakenne olla sellainen, ettei valmistajat pystyisi pimittämään omaa koodiaan ja estämään päivityksen keskitetysti googleta.

 

[Ezzy]

Kyllä ja ei, tai oikeastaan on Androidin vika ja on valmistajien vika.

Microsoft myy tietokoneita itsekkin, mutta samalla hetkellä kun MS Surface Book saa Windows 10/11 updaten, niin Acerit, Asukset ym. kymmenet muut valmistajat päivittyvät myös.

Google toki ajaa omiin pikseleihinsä päivitykset nopeasti, mutta Androidin rakenteesta johtuen edelleen pitää odottaa että valmistaja ajaa sen Android päivityksen sinne omaan pakettiinsa. Eli valmistajat ovat laiskoja ja rahan ahneita eikä tuohon kiinnosta palkata koodareita mitä tarvittaisiin, mutta voisihan Androidin rakenne olla sellainen, ettei valmistajat pystyisi pimittämään omaa koodiaan ja estämään päivityksen keskitetysti googleta.

Mikä Androidin rakenteessa johtaa tähän?

 

[jessus]

Mikä Androidin rakenteessa johtaa tähän?

Reddit - Dive into anything

www.reddit.com

 

[Ezzy]

Reddit - Dive into anything

www.reddit.com

Voisitko vähän tarkentaa, jos tämä ei ole se mitä ajat takaa:
"The answer to the question is that "carrying costs" are why updates are hard, and our solution has been (and will continue to be) a thoughtful, deliberate, and respectful approach where we define boundaries to make more and more of the underlying OS updatable, faster, without sacrificing the flexibility and power that Android's open-source nature affords."

Valmistajat siis kusevat omiin muroihinsa lisäämällä tauhkaa.

 

[jessus]

Joo. (Alunperin) Androidin system-osio oli se mitä muokattiin rajusti, ajurit ja mitä asetuksia rauta tarvi, eli pirstoutuminen ja päivitykset mahdottomia ellei valmista tee uutta rommia.
Nythän google ohjeistaa, että system partitio olis vain aosp ja siten helppo päivittää, mutta se on edelleen valmistajan vastuulla se päivitys

 

[FlyingAntero]

Android-puhelimia ei voi suoraan verrata Windows-koneisiin, kun ne perustuvat (pääsääntöisesti) erilaisiin alustoihin. Siinä missä x86-alustoissa on standartoitu BIOS/UEFI, niin ARM-laitteissa tällaista ei ole. Lisäksi varsinkin aiemmin ARM-laitteet ovat pyörineet huomattavasti pienemmillä resursseilla.

• Why Can Almost Any Desktop Run a Linux Image, but Most SBCs Need Their Own Variant?

On PCs a lot of the hardware initialisation is either standardised or handled by the BIOS. The BIOS stores software shipped by the manufacturer and runs before the OS. This is then responsible for finding and running the bootloader.

On ARM SBCs there's no BIOS. The equivalent software is shipped with the OS. Now technically there's nothing to stop open source operating systems sharing this firmware between each other (see licence for Raspberry Ri's bootcode.bin). But that does mean each OS must have a copy of this firmware for every different SBC... and there are many different SBCs.

Tämä on ollut suurin syy siihen, miksi ARM-pohjaisille Android-puhelimille ei ole ollut yhtä ja samaa asennustiedostoa (toisin kuin x86-Androidissa on ollut). Vasta Treblen myötä on lähdetty tekemään yhteisiä sopimuksia, miten asiat voidaan hoitaa eri tavalla. Siihen on kuitenkin täytynyt saada useat eri osa-puolet mukaan piiritoimittajista lähtien.

• Project Treble mahdollistaa saman ohjelmistopaketin asentamisen useaan Android-laitteeseen
• Google pyrkii ehkäisemään Androidin pirstaloitumista modulaarisella kernel-rakenteella

Näiden muutosten myötä esimerkiksi ajureita ja tietoturvakomponentteja voidaan jossain määrin päivittää suoraan Play Kaupan kautta. Tähän päästääkseen on täytynyt muodostaa yhteisiä toimintatapoja, joita ei ole aiemmin ollut.

• Android O Users Will Update Graphics Drivers Through Play Store
• Project Mainline is Google’s new attempt to send security updates directly to your phone