Haavoittuvuus koskee käytännössä kaikkia korealaisvalmistajan älypuhelimia, joiden sisällä on Android 9 tai uudempi käyttöjärjestelmä ja sen aiheuttaa valmistajan puhelinsovelluksesta löytynyt tietoturvapuute.
Ilmeisesti korjaavia tarjotaan vain uudempaan Android versioon, eli käyttäjän pitää tehdä sukupolvi päivitys. (Joo, suositus käyttää myös uusinta sukupolvea, mutta kun niissä tulee käyttäjälle ei toivottuja "ominaisuuksia" )
Jäi vähän ilmaan missä ongelma, kuinka kova riski, uutisen lähteessä kerrottiin jotain.
"thanks to the pre-installed Phone app that has an “insecure component.” Because the Phone app runs with system privileges,"
Puhelin sovelluksessa bugi, sitä ei ilmeisesti voi erikseen päivittää, eikä ihan avautunut miten hyökkäystä vastaan voi suojautua, onko väärennetty tuleva puhelinnumero, "virheellinen" kohde numero, vai jotain vaikeampaa?
Nää Android-päivitykset tuntuu olevan aika vaikea asia ihan yritystenkin tukihenkilöille. Mun oma puhelin poistui päivitysten piiristä jo viime vuonna, mutta kukaan ei ole firmasta ei ole mulle tyrkyttänyt uutta puhelinta. Olen tästä asiasta ihan kysynytkin tuesta, mutta eipä ole tullut juuri ymmärrystä.
Riippuu firmasta, ja osassa myös tehtävästä.
Jos puhelimella käsitellään GDPRn alaisia henkilötietoja niin eiköhän ne ole jonkinlaisessa laitehallinnassa. Yleensä "pakko" tulee sillion kun firman sähköposti, kalenteri, osoitekirja puhelimessa käytössä. Sen jälkeen ei pitäisi olla vaikeita, eli jos kohtuullinen hallinta, niin yllöpidolla on tarkkaan saatavilla tiedot mitä laitteita, versioita ja mitkä päivitykset. Jos ylläpito saa käyttämistään laitteista tieturva varoituksia, niin voivat reagoida tarvittaessa nopeasti. Jos laitteet hallittuja, niin usein köytössä rajoituksia joilla parannetaan tieturvaa markittävästi.
Osalle työpuhein on lähinnä työsuhde-etu, millä myös hoidetaan firman puhelut, ei edes haluta valvontaan, jolloin vastuu on käyttäjällä.
Työantajan pitäisi kuitenkin ymmärtää että jos se työntekiä soittelee sillä jotain muita kuin omia asioita niin nopeasti firman riskit ja vastuut kasvaa, eli velvollisuudet suojella.
Edit:
Lisään vielä, jos työantaja antanut työkaluksi välineen joka on selkeä GDPR riski. Helposti lähestyttävästi, jos puhelimella joudut käsitteleen firman henkilötietoja, nimiä, osoitteita, puhelinnumeroita, niin ota seuraavassa kehityskeskustelussa sivumennen esille riski firman kannalta. Jos välitön korkea riski, niin heti yhteyttä esimieheen.
Firman työntekijöiden henkilötiedot kuuluu samaan sarjaan, toimii jossain, mutta osalla tehoaa vain jos riskeerataan asiakkaan tietoja.
Nuo (puhelut) osuus yleensä ensimmäisenä, jos sillä puhelimella jotain työjuttuja tehdään.