Samsungin puhelimista on löytynyt vakava haavoittuvuus – päivitys on jo saatavilla

[Diizzel]

Diizzel kirjoitti uutisen/artikkelin:
Tietoturvayritys Kryptowire varoittaa Samsungin puhelimista löytyneen vakavan haavoittuvuuden, joka mahdollistaa hyökkääjälle käsiksi pääsyn puheluiden soittamiseen, sovellusten asentamiseen ja poistamiseen, ohjelmistojen ajamiseen taustalla ja jopa puhelimen tehdasasetusten palauttamiseen.

Haavoittuvuus koskee käytännössä kaikkia korealaisvalmistajan älypuhelimia, joiden sisällä on Android 9 tai uudempi käyttöjärjestelmä ja sen aiheuttaa valmistajan puhelinsovelluksesta löytynyt tietoturvapuute.

Kryptowire on löytänyt haavoittuvuuden alun perin viime vuoden marraskuussa ja varoittanut myös Samsungia aiheesta. Korealaisjätti puolestaan on julkaissut tilanteen korjaavan päivityksen helmikuussa. Samsungin puhelinten omistajien kannattaakin päivittää laitteensa ajan tasalle.

Lähde: Kryptowire, Android Authority

Linkki alkuperäiseen juttuun

 

[mRkukov]

Korealaisjätti puolestaan on julkaissut tilanteen korjaavan päivityksen helmikuussa.

Eli ei koske about ketään, joka edes joskus päivittää puhelintaan.

Onko tämä ennen vai jälkeen sen tietomurron? En nyt jaksa kaivaa uutisista.

 

[Diizzel]

Eli ei koske about ketään, joka edes joskus päivittää puhelintaan.

Onko tämä ennen vai jälkeen sen tietomurron? En nyt jaksa kaivaa uutisista.

Lapsus$:n tietomurto Samsungille tapahtui (tai ainakin siitä uutisoitiin) vasta maaliskuun alussa, eli tämän Kryptowiren viime vuoden puolella löytämän tietoturvariskin Samsung oli korjannut jo ennen sitä.

 

[Raikku]

Se olisikin outoa jos joku soittelisi minun puhelimellani, kun itse soitan sillä muutaman kerran vuodessa.

 

[Grez]

Silleen hämmentävä kyllä toi samsungin 25.2.2022 julkaistu päivitys, että siinä "Tietoturvapäivitysten taso" on 1.1.2022

Eli ilmeisesti asia pitää tulkita niin että jos puhelin näyttää viimeisimmän asennetun ohjelmistopäivityksen tiedoissa, että tietoturvapäivitysten taso on 1.1.2022 (tai uudempi) niin sitten asia on kunnossa.

 

[Juha Kokkonen]

Silleen hämmentävä kyllä toi samsungin 25.2.2022 julkaistu päivitys, että siinä "Tietoturvapäivitysten taso" on 1.1.2022

Eli ilmeisesti asia pitää tulkita niin että jos puhelin näyttää viimeisimmän asennetun ohjelmistopäivityksen tiedoissa, että tietoturvapäivitysten taso on 1.1.2022 (tai uudempi) niin sitten asia on kunnossa.

Tietoturvapäivityksillä taidetaan viitata Googlen tietoturvakorjauksiin, joita julkaistaan paketteina kuukausittain. Voin toki olla myös tuon Samsungin ilmaisutavan tulkinnasta väärässä.

 

[FlyingAntero]

Silleen hämmentävä kyllä toi samsungin 25.2.2022 julkaistu päivitys, että siinä "Tietoturvapäivitysten taso" on 1.1.2022

Eli ilmeisesti asia pitää tulkita niin että jos puhelin näyttää viimeisimmän asennetun ohjelmistopäivityksen tiedoissa, että tietoturvapäivitysten taso on 1.1.2022 (tai uudempi) niin sitten asia on kunnossa.

Samsung on korjannut uutisen haavoittuvuuden CVE-2022-22292 helmikuun tietoturvapäivityksessä.

• Samsung Mobile Security

SVE-2021-24038 (CVE-2022-22292): Arbitrary activity start in Telecom

Severity: High
Affected versions: Q(10), R(11), S(12)
Reported on: November 27, 2021
Disclosure status: Privately disclosed.
Unprotected dynamic receiver in Telecom prior to SMR Feb-2022 Release 1 allows untrusted applications to launch arbitrary activity.
The patch adds a proper permission for dynamic receiver.

Alla vielä informaatiota, miten tietoturvapäivitykset toimivat. OEM-valmistajat tulevat tyypillisesti kuukauden jäljessä Pixel puhelimiin nähden.

• How Monthly Android Security Patch Updates Work

 

[Grez]

Niin lähinnä vaan totesin että hassusti ei tuota asennetun päivityksen julkaisupäivää päivitystiedoissa näy suoraan.

Toki yksinkertainen ratkaisu on käskeä puhelin tarkistamaan päivitykset ja jos uudempaa ei löydy niin sitten se on ajan tasalla.

Ja sitten tuolta päivitykseltä pääsee linkin kautta "tarkempiin tietoihin" erilliselle nettisivulle, josta löytyy sitten julkaisupäivätkin eri päivityksille. Eli oman puhelimen päivityksen koodin voi laittaa muistiin ja verrata sieltä löytyvän listan julkaisupäiviin.

 

[=JP=]

Niin siis ajoin siis takaa sitä, että jos vaan haluaisi tarkistaa onko oma puhelin suojattu tuota vastaan, niin se on vähän hankalaa tuolla tiedolla että "on julkaissut tilanteen korjaavan päivityksen helmikuussa" kun puhelimen päivitystiedoissa lukee vaan edellisen onnistuneen päivityksen päivämäärä, esim. 26.2.2022 ja sitten "Tietoturvakorjauksen taso 1.tammikuuta 2022". Puhelimen päivitystilan näkymä ei siis kerro missään milloin päivitys on julkaistu. 26.2. asennettu päivitys voisi ihan hyvin olla julkaistu tammikuussa.

Nyt kun tietää tuon tietoturvapäivitysten julkaisutavan, niin ymmärtää, että Samsungin helmikuulla julkaistussa päivityksessä tietoturvakorjausten kuuluu olla tammikuun tasolla.

Toki yksinkertainen ratkaisu on käskeä puhelin tarkistamaan päivitykset ja jos uudempaa ei löydy niin sitten se on ajan tasalla.

Mikähän luuri kyseessä? Ainakin omassa S20 FE 5G on 1 March (maaliskuu) tietoturvapäivitykset (Android security patch level) tulleet 25.3 päivityksessä mukana...

 

[Grez]

Joo tosiaan riippuu varmaan luurista. Esim. Galaxy A80:een viimeisin päivitys on 9.2.2022 ja siinäkin on tammikuun tason "tietoturva". (ja sitä edeltävä 9.11.2021 tietoturva 1.9.2021 eli 2+ kk viive) Tuohon malliin tulee tietoturvapäivitykset kahdesti vuodessa. S20:iin tulee kuukausittaiset tietoturvapäivitykset. Tuolla koko lista eri mallien tietoturvapäivitysaikataulusta.

Päivitin myös vähän postaustani ja tuo lainaamasi ajatus kuukauden viiveestä tuli tuosta FlyingAnteron viestistä.

 

[FlyingAntero]

Kuukauden viiveellä tarkoitin, että Google julkaisee tietoturvapäivitykset yleensä saman kuun alussa kuin mikä se taso on. Eli esimerkiksi taso 2022-04-05 julkaistiin 4.4.2022. OEM-valmistajilla menee yleensä pidempään ja he julkaisevat sitten tason 2022-04-01 ilman kyseisen kuun Vendor + Kernel paikkauksia.

• How Monthly Android Security Patch Updates Work

You may have noticed that every month, there are actually two security patch levels. The format of these patches is either YYYY-MM-01 or YYYY-MM-05. While the YYYY and MM obviously represent the year and month respectively, the “01” and “05” confusingly does not actually signify the day of the month in which that security patch level was released. Instead, the 01 and 05 are actually two different security patch levels released on the same day every month – the patch level with 01 at the end contains fixes to the Android framework but not vendor patches or upstream Linux kernel patches. Vendor patches, as we defined above, refer to fixes to closed-source components such as drivers for Wi-Fi and Bluetooth. The security patch level signified by -05 contains these vendor patches as well as patches in the Linux kernel. Take a look at the table below which may help in understanding.

Monthly Security Patch Level	2019-04-01	2019-04-05
Contains April Framework Patches	Yes	Yes
Contains April Vendor + Kernel Patches	No	Yes
Contains March Framework Patches	Yes	Yes
Contains March Vendor + Kernel Patches	Yes	Yes

 

[=JP=]

Harmillisesti vaan tuntuu monessa päivityksen kohdalla lukea vain, että laitteen tietoturvaa on parannettu, mikä taasen ei paljoo kerro mitä siellä on korjattu. Jotenkin tuntuu olevan nykyään hyvin vaikeaa valmistajien listata selkeästi kaikki korjaukset, joita tehty (esim. lista CVE koodeista jne...).

Tuo A80 näkyy olevan todella hitaalla päivitys kierroksella enään, eli kahdesti vuodessa.

 

[PasA]

Nää Android-päivitykset tuntuu olevan aika vaikea asia ihan yritystenkin tukihenkilöille. Mun oma puhelin poistui päivitysten piiristä jo viime vuonna, mutta kukaan ei ole firmasta ei ole mulle tyrkyttänyt uutta puhelinta. Olen tästä asiasta ihan kysynytkin tuesta, mutta eipä ole tullut juuri ymmärrystä. Eli Samsungilla taitaa olla kolme tasoa päivitysten suhteen, joista kuukausittaiset on se paras (ja Google julkaiseen päivitykset kuukausittain) ja ehkä puolivuosittainen se huonoin eli voi mennä 6kk ennenkuin puhelimeen tulee päivitys, jos se edes on vielä tuen piirissä.

 

[PasA]

Ja siis sammobile pitää listaa yllä, kuinka usein puhelimet saa päivityksiä. When will my Galaxy phone get a security update?

 

[Marti77]

Ainakin omaan luuriin S10e tulee joka kuukausi tietoturvapäivitykset ja marraskuun pävitykset on jo tullut.
Ihan hyvä 3 vuotta vanhalle puhelimelle.
Tablettipuolella taas on päivitystahti heikko ei ole vielä tänä vuonna tullut yhtään.

 

[FlyingAntero]

Ja siis sammobile pitää listaa yllä, kuinka usein puhelimet saa päivityksiä. When will my Galaxy phone get a security update?

Samsungilla on listattu niiden omilla sivuilla päivitystahti. Eli käytännössä uudet puhelimet keskiluokasta ylöspäin saavat päivityksiä joka kuukausi. Alemmassa hintaluokassa tai vanhempien puhelimien kohdalla tahti on 3kk tai 6kk. Esim. Galaxy S10 mallit tippuivat juuri tuohon 3kk sykliin. Vähän aikaa sitten olivat vielä joka kuukausi tahdissa.

• Galaxy S10 and A50 users, say bye bye to monthly security updates - SamMobile
• Samsung Mobile Security

Current Models for Monthly Security Updates2

• Galaxy Fold, Galaxy Fold 5G, Galaxy Z Fold2, Galaxy Z Fold2 5G, Galaxy Z Fold3 5G, Galaxy Z Flip, Galaxy Z Flip 5G, Galaxy Z Flip3 5G
• Galaxy S10 5G, Galaxy S10 Lite
• Galaxy S20, Galaxy S20 5G, Galaxy S20+, Galaxy S20+ 5G, Galaxy S20 Ultra, Galaxy S20 Ultra 5G, Galaxy S20 FE, Galaxy S20 FE 5G, Galaxy S21 5G, Galaxy S21+ 5G, Galaxy S21 Ultra 5G, Galaxy S21 FE 5G, Galaxy S22, Galaxy S22+, Galaxy S22 Ultra
• Galaxy Note10, Galaxy Note10 5G, Galaxy Note10+, Galaxy Note10+ 5G, Galaxy Note10 Lite, Galaxy Note20, Galaxy Note20 5G, Galaxy Note20 Ultra, Galaxy Note20 Ultra 5G
• Enterprise Models: Galaxy A52, Galaxy A52 5G, Galaxy A52s 5G, Galaxy A53 5G, Galaxy XCover4s, Galaxy Xcover FieldPro, Galaxy Xcover Pro, Galaxy Xcover5

Current Models for Quarterly Security Updates3

• Galaxy S10, Galaxy S10+, Galaxy S10e
• Galaxy Note9
• Galaxy A40
• Galaxy A01 Core, Galaxy A11, Galaxy A21, Galaxy A21s, Galaxy A31, Galaxy A41, Galaxy A51 5G, Galaxy A71 5G
• Galaxy A02, Galaxy A02s, Galaxy A12, Galaxy A22, Galaxy A22 5G, Galaxy A22e 5G, Galaxy A32, Galaxy A32 5G, Galaxy A42 5G, Galaxy A72, Galaxy A82 5G
• Galaxy A03, Galaxy A03s, Galaxy A03 core, Galaxy A13, Galaxy A13 5G, Galaxy A23, Galaxy A33 5G, Galaxy A73 5G
• Galaxy M01, Galaxy M11, Galaxy M21 2021, Galaxy M31s, Galaxy M51, Galaxy M12, Galaxy M22, Galaxy M32, Galaxy M32 5G, Galaxy M42 5G, Galaxy M52 5G, Galaxy M62, Galaxy M23 5G, Galaxy M33 5G
• Galaxy F12, Galaxy F22, Galaxy F42 5G, Galaxy F52 5G, Galaxy F62
• Galaxy Tab A7, Galaxy Tab A7 Lite, Galaxy Tab A8, Galaxy Tab Active Pro, Galaxy Tab Active3
• Galaxy Tab S6 Lite, Galaxy Tab S7, Galaxy Tab S7+, Galaxy Tab S7 FE, Galaxy Tab S8, Galaxy Tab S8+, Galaxy Tab S8 Ultra
• W21 5G, W22 5G
• Enterprise Models: Galaxy A50

Current Models for Biannual Security Updates3

• Galaxy S8 Lite
• Galaxy A6, Galaxy A6+, Galaxy A7 (2018), Galaxy A8 Star, Galaxy A8s, Galaxy A9 (2018)
• Galaxy A10, Galaxy A10e, Galaxy A10s, Galaxy A20e, Galaxy A20, Galaxy A30, Galaxy A60, Galaxy A70, Galaxy A80, Galaxy A90 5G
• Galaxy A20s, Galaxy A30s, Galaxy A50s, Galaxy A70s, Galaxy A01, Galaxy A51, Galaxy A71
• Galaxy J4, Galaxy J6, Galaxy J6+, Galaxy J7 Duo, Galaxy J8
• Galaxy M10, Galaxy M10s, Galaxy M20, Galaxy M30, Galaxy M30s, Galaxy M40, Galaxy M21, Galaxy M31
• Galaxy Tab A 10.5 (2018), Galaxy Tab A 8 (2019), Galaxy Tab A 10.1 (2019), Galaxy Tab A with S pen, Galaxy Tab A 8.4 (2020)
• Galaxy Tab S4, Galaxy Tab S5e, Galaxy Tab S6, Galaxy Tab S6 5G
• W20 5G

Current Wearable Models for Security Updates4

• Galaxy Watch4, Galaxy Watch4 Classic

 

[Auricom]

Onneksi käytössäni on nykyaikainen Samsung vuodelta 2016 Android 8.0:lla. Vaihtoon menee varmaan kun akku tai puhelin sanoo hyvästit. Itseasiassa pidän tästä ulkoisesti enemmän kuin nykyisistä puhelimista ilman fyysisiä painikkeita. Puhelimet kiinnosti ennen ensimmäisen iPhonen julkaisua kovasti, sen jälkeen oli toki kiva kun alkoi tulla käyttökelpoista internetin käyttöä ja kameraa. Nykyään se on vain arjen väline.

 

[Manager2k]

Onneksi ei koske oneplussan puhelimia. Kyseinen firma ei ole saanut yhtään toimivaa päivitystä puoleen vuoteen ulos. Muuten ehkä tarttis olla huolissaan.

 

[love_doctor]

Harmillisesti vaan tuntuu monessa päivityksen kohdalla lukea vain, että laitteen tietoturvaa on parannettu, mikä taasen ei paljoo kerro mitä siellä on korjattu. Jotenkin tuntuu olevan nykyään hyvin vaikeaa valmistajien listata selkeästi kaikki korjaukset, joita tehty (esim. lista CVE koodeista jne...).

CVE-listat joutuisi koostamaan itse kun ei esim. kernel-julkaisuissa listata changelogissa CVE-merkintöjä, esim. täällä. Uutissivutkaan eivät aina listaa. Valmistajilla on vielä sitten omat kernelit, joihin manuaalisesti siirretään muutoksia mainlinestä. Samaa koostamista joutuu tekemään muistakin lähteistä.

Eli Samsungilla taitaa olla kolme tasoa päivitysten suhteen, joista kuukausittaiset on se paras (ja Google julkaiseen päivitykset kuukausittain) ja ehkä puolivuosittainen se huonoin eli voi mennä 6kk ennenkuin puhelimeen tulee päivitys, jos se edes on vielä tuen piirissä.

Puolen vuoden jakso on aika pitkä silti ja seuraavan 6 kk:n aikana voi joidenkin listattujen mallien tuki loppua. Mitenköhän on, takaako Samsung että sillä hetkellä puolivuosittaisella listalla olevat tulevat vielä saamaan ainakin yhden päivityksen ennen tuen loppumista? Vai voiko osan kanssa käydä niin, että ovat päivitysten piirissä, mutta huonolla tuurilla ei tule silti päivitystä.

 

[pulatunnus]

Haavoittuvuus koskee käytännössä kaikkia korealaisvalmistajan älypuhelimia, joiden sisällä on Android 9 tai uudempi käyttöjärjestelmä ja sen aiheuttaa valmistajan puhelinsovelluksesta löytynyt tietoturvapuute.

Ilmeisesti korjaavia tarjotaan vain uudempaan Android versioon, eli käyttäjän pitää tehdä sukupolvi päivitys. (Joo, suositus käyttää myös uusinta sukupolvea, mutta kun niissä tulee käyttäjälle ei toivottuja "ominaisuuksia" )

Jäi vähän ilmaan missä ongelma, kuinka kova riski, uutisen lähteessä kerrottiin jotain.

"thanks to the pre-installed Phone app that has an “insecure component.” Because the Phone app runs with system privileges,"

Puhelin sovelluksessa bugi, sitä ei ilmeisesti voi erikseen päivittää, eikä ihan avautunut miten hyökkäystä vastaan voi suojautua, onko väärennetty tuleva puhelinnumero, "virheellinen" kohde numero, vai jotain vaikeampaa?

Nää Android-päivitykset tuntuu olevan aika vaikea asia ihan yritystenkin tukihenkilöille. Mun oma puhelin poistui päivitysten piiristä jo viime vuonna, mutta kukaan ei ole firmasta ei ole mulle tyrkyttänyt uutta puhelinta. Olen tästä asiasta ihan kysynytkin tuesta, mutta eipä ole tullut juuri ymmärrystä.

Riippuu firmasta, ja osassa myös tehtävästä.

Jos puhelimella käsitellään GDPRn alaisia henkilötietoja niin eiköhän ne ole jonkinlaisessa laitehallinnassa. Yleensä "pakko" tulee sillion kun firman sähköposti, kalenteri, osoitekirja puhelimessa käytössä. Sen jälkeen ei pitäisi olla vaikeita, eli jos kohtuullinen hallinta, niin yllöpidolla on tarkkaan saatavilla tiedot mitä laitteita, versioita ja mitkä päivitykset. Jos ylläpito saa käyttämistään laitteista tieturva varoituksia, niin voivat reagoida tarvittaessa nopeasti. Jos laitteet hallittuja, niin usein köytössä rajoituksia joilla parannetaan tieturvaa markittävästi.

Osalle työpuhein on lähinnä työsuhde-etu, millä myös hoidetaan firman puhelut, ei edes haluta valvontaan, jolloin vastuu on käyttäjällä.
Työantajan pitäisi kuitenkin ymmärtää että jos se työntekiä soittelee sillä jotain muita kuin omia asioita niin nopeasti firman riskit ja vastuut kasvaa, eli velvollisuudet suojella.


Edit:
Lisään vielä, jos työantaja antanut työkaluksi välineen joka on selkeä GDPR riski. Helposti lähestyttävästi, jos puhelimella joudut käsitteleen firman henkilötietoja, nimiä, osoitteita, puhelinnumeroita, niin ota seuraavassa kehityskeskustelussa sivumennen esille riski firman kannalta. Jos välitön korkea riski, niin heti yhteyttä esimieheen.

Firman työntekijöiden henkilötiedot kuuluu samaan sarjaan, toimii jossain, mutta osalla tehoaa vain jos riskeerataan asiakkaan tietoja.

Nuo (puhelut) osuus yleensä ensimmäisenä, jos sillä puhelimella jotain työjuttuja tehdään.

 

[=JP=]

Ilmeisesti korjaavia tarjotaan vain uudempaan Android versioon, eli käyttäjän pitää tehdä sukupolvi päivitys. (Joo, suositus käyttää myös uusinta sukupolvea, mutta kun niissä tulee käyttäjälle ei toivottuja "ominaisuuksia" )

Jäi vähän ilmaan missä ongelma, kuinka kova riski, uutisen lähteessä kerrottiin jotain.

"thanks to the pre-installed Phone app that has an “insecure component.” Because the Phone app runs with system privileges,"

Puhelin sovelluksessa bugi, sitä ei ilmeisesti voi erikseen päivittää, eikä ihan avautunut miten hyökkäystä vastaan voi suojautua, onko väärennetty tuleva puhelinnumero, "virheellinen" kohde numero, vai jotain vaikeampaa?

Selkeästi asia on sanottu tuossa CVE tiedotteessa:
Unprotected dynamic receiver in Telecom prior to SMR Feb-2022 Release 1 allows untrusted applications to launch arbitrary activity.
The patch adds a proper permission for dynamic receiver.

Ja jos vähän edes Googlettaa asiaa, niin:
The vulnerability resides in the pre-installed Phone app that executes with system privileges on Samsung devices. Experts pointed out that the Phone app has an insecure component which allows local apps to perform privileged operations without any user interaction.
“The vulnerability could give attackers the ability to initiate a factory reset (i.e., deleting all user data), make phone calls (including to emergency numbers such as 911), install/uninstall apps, weaken HTTPS security by installing arbitrary root certificates, all from untrusted apps running in the background and without end-user approval.”

Eli mikä tahansa sovellus voi sen kautta saada luuriin täydet oikeudet, eli melkoisen vakava, jos ei saa korjattua.

Haavoittuvuus koskee käytännössä kaikkia korealaisvalmistajan älypuhelimia, joiden sisällä on Android 9 tai uudempi käyttöjärjestelmä ja sen aiheuttaa valmistajan puhelinsovelluksesta löytynyt tietoturvapuute.

Tämä on tieten ainoastaan Samsungin ongelma, koska käyttää omaa Puhelin sovellusta, ainakaan en ole löytänyt tietoa, että samainen reikä löytyisi muiden merkkien luureista? Vai tarkoitetaanko tuossa lauseessa ainoastaan Samsungia korealaisvalmistajana?

 

[pulatunnus]

Selkeästi asia on sanottu tuossa CVE tiedotteessa:
Unprotected dynamic receiver in Telecom prior to SMR Feb-2022 Release 1 allows untrusted applications to launch arbitrary activity.
The patch adds a proper permission for dynamic receiver.

Ja jos vähän edes Googlettaa asiaa, niin:
The vulnerability resides in the pre-installed Phone app that executes with system privileges on Samsung devices. Experts pointed out that the Phone app has an insecure component which allows local apps to perform privileged operations without any user interaction.
“The vulnerability could give attackers the ability to initiate a factory reset (i.e., deleting all user data), make phone calls (including to emergency numbers such as 911), install/uninstall apps, weaken HTTPS security by installing arbitrary root certificates, all from untrusted apps running in the background and without end-user approval.”

Eli mikä tahansa sovellus voi sen kautta saada luuriin täydet oikeudet, eli melkoisen vakava, jos ei saa korjattua.

Ymmärsinkö oikein, vaatii esim. käyttäjältä sen haittaohjelman asennuksen.
Eli ei haitallisen ohjelman kautta ei voi tuohon aukkoon hyökätä ?

Tuosta jäi myös se olo että haittaohjelma ei tarvi mitään oikeuksia, eli riski ohjelmia ei voi luokitella sen perusteella mitä oikeuksia varaa.

 

[=JP=]

Ymmärsinkö oikein, vaatii esim. käyttäjältä sen haittaohjelman asennuksen.
Eli ei haitallisen ohjelman kautta ei voi tuohon aukkoon hyökätä ?

Tuosta jäi myös se olo että haittaohjelma ei tarvi mitään oikeuksia, eli riski ohjelmia ei voi luokitella sen perusteella mitä oikeuksia varaa.

Kyllä siis vaatii käyttäjältä jonkin sovelluksen asentamisen, mutta tähänkin on monia keinoja, joihin mennään lankaan ja asennellaan ties mitä sovellusta ajattelematta. Ja ikävä kyllä välillä sieltä Play kaupasta löytyy näitä ilkeitä sovelluksia jälkikäteen, joita asennettu miljooniin puhelimiin ja seassa varmasti on Samsungin luureja, joissa ei tuota ole päivitetty. Ja kyllä se ei haitallinen ohjelmakin pääsee yhtälailla käsiksi tuohon reikään, koska se on bugi, mutta eihän ne tietenkään hyödynnä sitä mitenkään.

Kyseessä siis on todella vakava reikä, mitä jos sun tietokoneessa on ohjelma, jonka kautta mikä tahansa muu softa voi tehdä mitä vaan kyselemättä sinulta mitään, vaikka formatoida koneen.

 

[pulatunnus]

Kyllä siis vaatii käyttäjältä jonkin sovelluksen asentamisen, mutta tähänkin on monia keinoja, joihin mennään lankaan ja asennellaan ties mitä sovellusta ajattelematta.

Tämä tärkeä tieto, siis varsinkin heille joilla on päivittämätön laite tai jostain syystä eivät halua tässä välissä päivittää.
Eli ei tarvi panikoida.

Ja kyllä se ei haitallinen ohjelmakin pääsee yhtälailla käsiksi tuohon reikään, koska se on bugi, mutta eihän ne tietenkään hyödynnä sitä mitenkään.

Tuota pohtiessa sitä varmistelin sitä että vaatiiko sitä että ohjelmaan täytyy olla vartavasten koodattu se hyökkäys menetelmä.
Eli varmistelin sitä että tosiaan vaatii käyttäjän toimia. (ei siis voi hyökätä esim viestintä ja sisältö, media, selain, some sun muiden luotettujen ohjelmien kautta ilman, jos ei lasketa sitä että houkutellaan käyttäjä asentamaan se haittaohjelma)

mitä jos sun tietokoneessa on ohjelma, jonka kautta mikä tahansa muu softa voi tehdä mitä vaan kyselemättä sinulta mitään, vaikka formatoida koneen.

Ei siitä kovin pitkää aikaa ole kun ihmisillä tuollaisia tietokoneita oli, siis oletus taso oli sitä luokkaa että ohjelmat pysty tekemään melkein mitä vaan.

Moni elää vielä tänä päivänäkin sillä varovaisuudella että ei luotettu ohjelma voi tehdä mitä vain, ja luotetun kohdalla todennäköisesti tekee jotain ei toivottua, mutta ei liianpahaa. saati tuhoaisi dataa.

Turvallisuuden kasvamisessa on se seuraus että enään ei toimi kaikki halutut ohjelmat halutulla tavalla, tai ei kaikkia haluttuja toiminta voi toteuttaa.