Bugi näyttää koskevan kaikkia AOSP-pohjaisia Android julkaisuja eli Pixel-puhelimet ja puhtaaseen Androidiin perustuvat laitteet (ehkä HMD Global?) ovat haavoittuvia ennen marraskuun korjausta. Sen sijaan useimmissa OEM-valmistajien muokatuissa ohjelmistoissa (Samsung: One UI, Xiaomi: MIUI jne.) vikaa ei näyttäisi olevan (alkuperäistä AOSP-koodia mahdollisesti muokattua sen verran, ettei bugi esiinny).
Ilmeisesti kaikki Androidit, joissa ei ole marraskuun tietoturvapakettia, saa auki lukitusnöytön ohi. @Juha Kokkonen voisiko tässä olla uutisen paikka? Toki en lähdettä täysin tarkkaan lukenut, mutta nopealla tsekkauksella vaikutti paikkaansapitävältä.
Kun kyseessä on AOSP haavoittuvuus, niin myös AOSP:iin pohjautuvat custom ROM:it ovat alttiita (esim. Lineage OS). Onneksi Google on tuonut korjaukset myös vanhemmille Android-versioille (Android 10, 11, 12, 12L, ja 13), niin kehittäjät saavat korjattua aukon myös vanhempaan Androidiin pohjautuvissa ROMeissa.
Testasimme tätä haavoittuvuutta Nokia X30:llä, jossa on sisällä syyskuun tietoturvapäivitykset ja ainakaan minä en onnistunut ohittaa lukitusruutua vaikka ohjeita seurasin ja SIM-korttini lukitsin. Palasi PUK-koodin laittamisen jälkeen vain lukitusruutuun ja vaati edelleen koodia. Ilmeisesti HMD Globalin Android on siis tarpeeksi kaukana AOSP-buildista.
Ilmeisesti osa Hmd Globalin puhelimista on kuitenkin haavoittuvia, sillä aukko on todettu olevan Nokia 6.1 Plus (Android 10) puhelimessa. Lisäksi mm. Sony Xperia 5 II ja Microsoft Surface Duo ovat haavoittuvia. Sonynkin päivitykset taisivat loppua juuri sopivasti lokakuuhun, niin marraskuun korjausta ei taida olla luvassa (tai ainakin edeltävä Xperia 5 sai päivityksiä tasan kaksi vuotta eli ne loppuivat lokakuussa 2021, sama kaava Xperia 5 II:lla tarkoittaisi lokakuuta 2022).
.
Haavoittuvuuksia voi kyberturvallisuuskeskuksen mukaan käyttää ilman käyttäjän toimia ja niiden hyväksikäyttöön riittää, että hyökkääjä tietää uhrin puhelinnumeron.
www.io-tech.fi
Haavoittuvuuksia voi kyberturvallisuuskeskuksen mukaan käyttää ilman käyttäjän toimia ja niiden hyväksikäyttöön riittää, että hyökkääjä tietää uhrin puhelinnumeron.
Kyberturvallisuuskeskus: Samsungin Exynos-piirisarjasta on löydetty useita kriittisiä haavoittuvuuksia - io-tech.fi
Haavoittuvuudet korjaavaa päivitystä ei ole julkaistu, mutta haavoittuvuuksien käyttöä voi rajoittaa sammuttamalla Wi-Fi-puhelut ja VoLTE:n.
Meinasin ottaa wanhan Honor 8:n (android 8) mukaan laivareissulle kun ei oikein uutta tonnin puhelinta kehtaisi hävitettäväksi/hajotettavaksi ottaa
Mikä tuon käyttämisessä on suurin riski, en asenna siihen kuin lähinnä Whatsapin ja korkeintaan iltalehteä ajankuluksi selailee?
Bluetoothin ja wifin pitää pois päältä (ainakin ruuhkassa) ja näytönlukituksen koodilla/sormenjäljellä niin ei kai tuohon sisään hyvin helpolla hakkeroida.
