Onko turvallista käyttää vanhaa android puhelinta?

[Kyselijä22]

Kuinka vanhaa android puhelinta on turvallista käytää? Itselläni on android versio 11 ja tietoturvapäivitys 2022-04-01, vieläkö puhelinta on turvallista käytää? Päivityksia ei näyttäisi enää tulevan kyseiseen puhelimeen.

 

[FlyingAntero]

Lähtökohtaisesti en suosittele puhelimen kaltaisen laitteen käyttämistä, jos ohjelmisto on vanhentunut. Puhelin sisältää kuitenkin nykyään niin paljon tietoa, että niiden joutuminen vääriin käsiin on ongelmallista. Samaan hengenvetoon täytyy kuitenkin todeta, että hyökkäyksen kohteeksi joutuminen on aika epätodennäköistä. Riski on siis olemassa mutta sen realisoituminen on sitten toinen juttu.

Sanotaan nyt näin, että jos laite on päivittynyt esim. viimeisen vuoden sisällä, niin eiköhän laitetta voi ihan hyvin käyttää. Kannattaa kuitenkin tiedostaa mahdolliset uhat eikä asentaa sovelluksia Play Kaupan ulkopuolelta. Muutenkin kannattaa kiinnittää huomiota siihen, mitä sovelluksia asentaa ja millä sivustoilla vierailee.

Sinälläänhän se puhelin toimii vanhallakin ohjelmistolla mutta tietoturva-aukkoja alkaa kasaantumaan eikä niitä enää korjata. Hyökkääjillä on siis koko ajan useampia reittejä päästä käsiksi puhelimeen. Yksi vaihtoehto on custom ROM:n asentaminen, vaikka siinäkin on omat riskinsä.

• Custom ROMin asentaminen Xiaomi Redmi Note 4 -puhelimeen - io-tech.fi
• Saako neljä vuotta vanhasta puhelimesta vielä käyttökelpoisen? (Android 11 päivitys, tallennustilan kasvattaminen ja kameran optimointi)

Toisessa ketjussa tuli myös sivuttua aihetta

Todennäköisyys joutua hyökkäyksen kohteeksi jonkin tuoreen haavoittuvuuden kautta on melko pieni. Yleensä pelkkä haavoittuvuus ei edes riitä vaan käyttäjältä saatetaan vaatia varomattomia toimia. Tai ainakin sellaisten haavoittuvuuksien kohdalla, mitä hyödynnetään laajasti.

Esim. DirtyCow oli vaarallinen haavoittuvuus (root oikeudet) mutta vaati käytännössä sovelluksen asentamisen epämääräisestä lähteestä. Lisäksi haavoittuvuutta hyödyntävät haitalliset sovellukset lähtivät yleistymään vasta vuoden päästä korjauspäivityksen saapumisesta. Käytännössä siis ne laitteet jäivät alttiiksi, jotka eivät saaneet päivitystä ollenkaan.

• In a first, Android apps abuse serious “Dirty Cow” bug to backdoor phones

Vastaavasti BlueBorne ja KRACK haavoittuvuudet eivät vaatineet käyttäjältä erikseen toimia. En kuitenkaan ole nähnyt raportteja, että haavoittuvuutta olisi käytännössä hyödynnetty yhtä laajasti kuin DirtyCow:ta (vaikka alttiita laitteita oli enemmän). Lähinnä tulee mieleen räätälöidyt hyökkäykset yrityksiä tai korkeassa asemassa olevia henkilöitä vastaan.

Eli kunhan käytössä ei ole vuosia vanha ohjelmisto ja jonkin verran järkeä päässä, niin pitäisi olla aika hyvin turvassa. Jättää vain sovellukset asentamatta Play Kaupan ulkopuolelta ja pysyy poissa epämääräisiltä sivustoilta (kaikkia ruudulle ilmestyneitä ok painikkeita ei kannata klikata sokeasti).

 

[kntkvtknt]

Jos ei asenna sovelluksia Play-kaupan ulkopuolelta. on ok. Samoin AdGuardilla mainonnat estoon.

Play-kaupastakaan ei kannattaisi ladata mitään mikä on trendaavaa tai epämääräistä.
Vaarillani oli puhelin, jossa viimeinen tietoturva 2019 joulu. Vaihdettiin vasta nyt Nokia 5.4 alkuvuonna ja siinä päivityksiä 1,5v ostohetkellä oli.

Kannattaa huomioida, etä mahdolliset luvatut päivitykset esim. 3v on julkaisusta, ei ostoksesta.

 

[TimeKillerX]

Itse en latailisi paljoa Play kaupastakaan vaan mieluummin avoimesta F-Droidista ja kattoisin silloinkin tarkkaan mitä oikeuksia sovellus pyytää. Ainakin työpöydällä Play- kauppaa selatessa kyllä näkee, yleensä mobiilivehkeillä (vanhemilla) ei oikein. Esim. taskulaskimen ei tarvitse päästä nettiin, mikkiin, eikä sisältää mainoksia. Suurin osa siellä on tarpeetonta huuhaata, toistensa kopioita ja 80% vakoilusovelluksia joka tapauksessa.
Ai niin ja sitten se turvallisuuden tunne Play kaupasta - vaikka sitä jossain määrin skannaillaan niin ei todellakaan pidä kuvitella, että kaikki sieltä ladattu on turvallista. Kaukana siitä.

Mitä ylipäätään turvallisuuteen tulee niin Xiaomi on uutenakin vakoilulaite itsessään ja turvallisuusuhka, sen takia siinä onkin aivan verraton hinta/laatusuhde raudassa (eli myyvät ihan avoimesti rautaa jopa tappiolla), vaatii vaan sen, että laittaa custom romin tai pitää silmät auki käyttöehtojen kohdalla alkuvaiheesta asti (ja selaa asti asti kaikki piilotetut kohdat ja napsii pois) ainakin putsaa pahimmat tauhkat ja vaihtaa ihan soitto- ja tekstarisovellukset avoimiin.

Sinällään en näe oikein mitään riskiä vaikka olis miten vanhentunu, paljonko noita on oikeasti hyödynnetty missään ja ilman käyttäjän toimia?
Jos ei ole nettiä päällä 24/7, ainoastaan turvalliseksi todennettuja avoimia softia mitä tarvitsee, pahimmat tehdastauhkat poistettu ja yksityisasetukset tapissa tai custom rom ja tietysti selaimena Bromite tai edes Firefox + UBlock jos on niin vanha (esim. 7) Android/pohja, eikä siinä yhdessä laitteessa ole koko elämää kiinni niin senkun käyttää. Lisäkseen halutessaan palomuurisoftaa ja kunnollista oikeuksien hallintaa päälle.

Sitten jos vetää kattomatta yhtään jollain vanhalla Xiaomilla ja latailee kaikkea mitä sieltä hassunhauskaa trendaavaa, mitä Play kaupasta löytyy niin en suosittelis.

Mutta kun kattoo miten ja mitä ihmiset käyttää niin taitaa se vanhentunut käyttis olla pienin uhka, varsinkin kun vielä lisätään se täysin väärä turvallisuuden mielikuva, eli päivittyjä laite = ei tarvitse varoa yhtään mitä latailee ja tekee tai oletus, ettäkö se on jotenkin turvallinen jo ostettaessa.

Ja ettei jää epäselväksi;
En nyt suosittele vanhentunutta käyttistä ihmiselle, jonka tarvitsee kysyä asiasta, päin vastoin, peräänkuulutan vaan sitä, että ne omat toimet ratkaisee ja merkitsee 99% ja sitten se käyttiksen ajan tasalla olo ehkä sen 1%.
Kaikki (noh, ei absoluuttisesti) ne ongelmat tulee siitä, että "mähän hain tän äsken kaupasta ja latasin vaan Play- kaupasta" ja langetaan johonkin huijaukseen, joka vaatii vielä aktiivisia toimia, ei siitä, että käytetään vanhentunutta laitetta ja softaa.

 

[mesag]

Accidental $70k Google Pixel Lock Screen Bypass

David Schütz's bug bounty writeups

bugs.xdavidhu.me

Ilmeisesti kaikki Androidit, joissa ei ole marraskuun tietoturvapakettia, saa auki lukitusnöytön ohi. @Juha Kokkonen voisiko tässä olla uutisen paikka? Toki en lähdettä täysin tarkkaan lukenut, mutta nopealla tsekkauksella vaikutti paikkaansapitävältä.

 

[FlyingAntero]

Accidental $70k Google Pixel Lock Screen Bypass

David Schütz's bug bounty writeups

bugs.xdavidhu.me

Ilmeisesti kaikki Androidit, joissa ei ole marraskuun tietoturvapakettia, saa auki lukitusnöytön ohi. @Juha Kokkonen voisiko tässä olla uutisen paikka? Toki en lähdettä täysin tarkkaan lukenut, mutta nopealla tsekkauksella vaikutti paikkaansapitävältä.

Bugi näyttää koskevan kaikkia AOSP-pohjaisia Android julkaisuja eli Pixel-puhelimet ja puhtaaseen Androidiin perustuvat laitteet (ehkä HMD Global?) ovat haavoittuvia ennen marraskuun korjausta. Sen sijaan useimmissa OEM-valmistajien muokatuissa ohjelmistoissa (Samsung: One UI, Xiaomi: MIUI jne.) vikaa ei näyttäisi olevan (alkuperäistä AOSP-koodia mahdollisesti muokattua sen verran, ettei bugi esiinny).

• THIS IS ABSOLUTELY CRAZY! I have personally tested this on my Non-pixel Android ... | Hacker News

have personally tested this on my Non-pixel Android 12 device and it works. My findings: - The exploit works even on first pwd input screen on boot. however, the filesystem is still encrypted and cannot be accessed by any means (ADB/MTP). launcher does not load fully. but settings and other things accesible from notification panel can be launched (BT/Hotspot etc). you can get list of installed apps and many other sensitive informations that are not stored in /data/media/0/. - adb can be connected. shell can be launched but data partition is not accesible. - mtp initializes but does not load. I guess although one cannot access the user data, the ability to access/control other parts of system potentially exposes a huge attack surface...

...The device I tested this on runs a moderately modified AOSP based os. I cannot specify the device model etc. I have also tested this on another LineageOS device and that is also affected. So I suppose any aosp-based rom that isn't heavily modified (like Samsung/MiUI) are affected.

• Dangerous Android Bug Lets You Unlock Any Android Device! - xiaomiui

This bug only affects Google Pixel devices. Other OEM devices have been tried by us but result is negative.

Kun kyseessä on AOSP haavoittuvuus, niin myös AOSP:iin pohjautuvat custom ROM:it ovat alttiita (esim. Lineage OS). Onneksi Google on tuonut korjaukset myös vanhemmille Android-versioille (Android 10, 11, 12, 12L, ja 13), niin kehittäjät saavat korjattua aukon myös vanhempaan Androidiin pohjautuvissa ROMeissa.

 

[Diizzel]

Bugi näyttää koskevan kaikkia AOSP-pohjaisia Android julkaisuja eli Pixel-puhelimet ja puhtaaseen Androidiin perustuvat laitteet (ehkä HMD Global?) ovat haavoittuvia ennen marraskuun korjausta. Sen sijaan useimmissa OEM-valmistajien muokatuissa ohjelmistoissa (Samsung: One UI, Xiaomi: MIUI jne.) vikaa ei näyttäisi olevan (alkuperäistä AOSP-koodia mahdollisesti muokattua sen verran, ettei bugi esiinny).

• THIS IS ABSOLUTELY CRAZY! I have personally tested this on my Non-pixel Android ... | Hacker News

• Dangerous Android Bug Lets You Unlock Any Android Device! - xiaomiui

Kun kyseessä on AOSP haavoittuvuus, niin myös AOSP:iin pohjautuvat custom ROM:it ovat alttiita (esim. Lineage OS). Onneksi Google on tuonut korjaukset myös vanhemmille Android-versioille (Android 10, 11, 12, 12L, ja 13), niin kehittäjät saavat korjattua aukon myös vanhempaan Androidiin pohjautuvissa ROMeissa.

Testasimme tätä haavoittuvuutta Nokia X30:llä, jossa on sisällä syyskuun tietoturvapäivitykset ja ainakaan minä en onnistunut ohittaa lukitusruutua vaikka ohjeita seurasin ja SIM-korttini lukitsin. Palasi PUK-koodin laittamisen jälkeen vain lukitusruutuun ja vaati edelleen koodia. Ilmeisesti HMD Globalin Android on siis tarpeeksi kaukana AOSP-buildista.

 

[FlyingAntero]

Testasimme tätä haavoittuvuutta Nokia X30:llä, jossa on sisällä syyskuun tietoturvapäivitykset ja ainakaan minä en onnistunut ohittaa lukitusruutua vaikka ohjeita seurasin ja SIM-korttini lukitsin. Palasi PUK-koodin laittamisen jälkeen vain lukitusruutuun ja vaati edelleen koodia. Ilmeisesti HMD Globalin Android on siis tarpeeksi kaukana AOSP-buildista.

Ilmeisesti osa Hmd Globalin puhelimista on kuitenkin haavoittuvia, sillä aukko on todettu olevan Nokia 6.1 Plus (Android 10) puhelimessa. Lisäksi mm. Sony Xperia 5 II ja Microsoft Surface Duo ovat haavoittuvia. Sonynkin päivitykset taisivat loppua juuri sopivasti lokakuuhun, niin marraskuun korjausta ei taida olla luvassa (tai ainakin edeltävä Xperia 5 sai päivityksiä tasan kaksi vuotta eli ne loppuivat lokakuussa 2021, sama kaava Xperia 5 II:lla tarkoittaisi lokakuuta 2022).

 

[Tixi]

Meinasin ottaa wanhan Honor 8:n (android 8) mukaan laivareissulle kun ei oikein uutta tonnin puhelinta kehtaisi hävitettäväksi/hajotettavaksi ottaa.
Mikä tuon käyttämisessä on suurin riski, en asenna siihen kuin lähinnä Whatsapin ja korkeintaan iltalehteä ajankuluksi selailee?
Bluetoothin ja wifin pitää pois päältä (ainakin ruuhkassa) ja näytönlukituksen koodilla/sormenjäljellä niin ei kai tuohon sisään hyvin helpolla hakkeroida.

 

[5rWs3WA2tv]

Haitallisten mainoksien kautta saattaa puhelimen saada haltuun, eli ei vaadi sinällään paljon että vanhalla versolla selaa turvallisesti kokemaa iltalehteä

 

[Dr. Who]

Hyvin on pelottelu uponnut ihmisiin. Se on jännä miten järkevät ihmiset pelkää viruksia kun käytännössä sellaisen saaminen edellyttää käyttäjän toimia ja epäilyttävien sivustojen käyttöä sekä linkkien avaamista.

 

[Toiota]

Hyvin on pelottelu uponnut ihmisiin. Se on jännä miten järkevät ihmiset pelkää viruksia kun käytännössä sellaisen saaminen edellyttää käyttäjän toimia ja epäilyttävien sivustojen käyttöä sekä linkkien avaamista.

Haavoittuvuuksia voi kyberturvallisuuskeskuksen mukaan käyttää ilman käyttäjän toimia ja niiden hyväksikäyttöön riittää, että hyökkääjä tietää uhrin puhelinnumeron.

Kyberturvallisuuskeskus: Samsungin Exynos-piirisarjasta on löydetty useita kriittisiä haavoittuvuuksia - io-tech.fi

Haavoittuvuudet korjaavaa päivitystä ei ole julkaistu, mutta haavoittuvuuksien käyttöä voi rajoittaa sammuttamalla Wi-Fi-puhelut ja VoLTE:n.

www.io-tech.fi

 

[Dr. Who]

Haavoittuvuuksia voi kyberturvallisuuskeskuksen mukaan käyttää ilman käyttäjän toimia ja niiden hyväksikäyttöön riittää, että hyökkääjä tietää uhrin puhelinnumeron.

Kyberturvallisuuskeskus: Samsungin Exynos-piirisarjasta on löydetty useita kriittisiä haavoittuvuuksia - io-tech.fi

Haavoittuvuudet korjaavaa päivitystä ei ole julkaistu, mutta haavoittuvuuksien käyttöä voi rajoittaa sammuttamalla Wi-Fi-puhelut ja VoLTE:n.

www.io-tech.fi

Meinasin ottaa wanhan Honor 8:n (android 8) mukaan laivareissulle kun ei oikein uutta tonnin puhelinta kehtaisi hävitettäväksi/hajotettavaksi ottaa.
Mikä tuon käyttämisessä on suurin riski, en asenna siihen kuin lähinnä Whatsapin ja korkeintaan iltalehteä ajankuluksi selailee?
Bluetoothin ja wifin pitää pois päältä (ainakin ruuhkassa) ja näytönlukituksen koodilla/sormenjäljellä niin ei kai tuohon sisään hyvin helpolla hakkeroida.

 

[SgtBudde]

Kesäkuulta 2019 näkyy olevan viimesin päivitys, muutama sovellus on lakannut päivittymästä, kun vaativat uudemman Androidin kuin tässä olevan 7:n.
Vaikken ole mikään himojännittäjä, niin silloin tällöin käy miellessä, että mitenkähän näiden parkki-, pankki- yms. sovellusten muurit kestää...

 

[userm2]

Mitä vanhempi puhelin, sitä rajoitetummin lienee hyvä käyttää eli sähköpostit kun näkee gmail mikä joka puhelimessakin pohjana oltava? Sitten voi soitella ja viestittää niin onhan sekin jo hyvä. Tuntuu nämä esim. pankkien sovellukset vaativan aika uuden järjestelmän tietoturvan takia ilmeisesti?

 

[nimimerkkini]

Ihan maalaisjärjellä ajateltuna jos ei puhelimella osta mitään tai käytä pankkipalveluita tai muita vastaavia, niin riski millekään vakavalle lienee aika mitätön. Pankkipalveluita ja shoppailua en lähtisi vanhentuneella puhelimella suosittelemaan.

 

[madmantrue]

Kuten on mainittukin tuommoisen häksäämisen kohteeksi joutumiseksi kannattaisi tehdä kyllä jo sitten lottoakin jos sattuu niin hyvä tuuri käymään että joku ottaa luurin hallintaan.
Tuo juurikin ettei lataa playkaupasta ihan kaikkea auttaa jo pitkälle , uutisissa jatkuvasti sovellus joka milloin mitäkin tehnyt lataajille ja osassa ollut jopa yli miljoona latausta ennenkuin huomattu.
Sama pätee varsinkin mobiili peleissä. Netissä on lukemattomia sivuja joista saa pelin ladattua APK ilmaiseksi ja tuo jos mikä houkuttaa. Lisäksi on pc/konsoli peli porttauksia mutta nuissa tulee sitten muutakin mukana.
Kannattaa ihan itse miettiä jos käyttää esim puhelimella pankkia kannattaako siihen silloin mennä esim torrentteja sun muuta lataamaan. Ja toisekseen itse olen kaksi kertaa elämässäni käyttänyt puhelinta joka todella vanha jo, esim honor 7 lite. Eikä ollut ongelmia.
Nytkin perheessäni on yksi luuri käytössä missä Android 11 ja viimekuussa tuli viimeinen tietoturva , silti sillä menee vielä ensi vuosi ainakin. Akku kestää ,kamerat softat toimii niin mitäpä sitä vaihtamaan.

 

[leffo]

Mun Android 6 puhelimeni muuttuu kuukausi kuukaudelta turvallisemmaksi, kun eri sovellukset lakkaavat siinä toimimasta. Tässä piti selain jo lakata toimimasta pari vuotta sitten jonkun hölmön sertifikaatin takia jota ilmeisesti ei pysty päivittämään. Mä muistan kun siitä kiersi uutisia mutta sitten unohdin asian.

En ole kokenut tuosta olevan mitään haittaa. Whapsapp vaatii vitosen tällä hetkellä joten se varmaan toimii parisen vuotta ainakin. Muut, mahdollisesti myös tuo selain, voi kyllä lakata toimimasta siinä ajassa.