Google paljasti haavoittuvuuksia laitealustoissa

Kyberhyökkäykset terveydenhuollon toimijoita vastaan koronapandemian aikana ovat tuomittu erityisen raukkamaisina tekoina. Kansainvälistä koronatutkimusta tekevä softafirma eResearchTechnology joutui viime vuoden puolella kiristysohjelmahyökkäyksen uhriksi. eResearchTechnologyn ohjelmia käytetään kliinisissä kokeissa Pohjois-Amerikassa, Euroopassa ja Aasiassa.

Osin kyberiskuissa on käytetty haavoittuvuuksia, jotka ovat syvällä käyttöliittymän alla, eikä käyttöjärjestelmävalmistaja pääse estämään niitä.

Tämä on pääsyy siihen, miksi Googlen haavoittuvuusskanneri Android Partner Vulnerability Initiative (PVI) tuotiin julkisuuteen. Tutka etsii haavoittuvuuksia piireistä ja erityisesti Androidia käyttävien puhelinvalmistajien laitteista.

Google julkaisi vikalistan

Google tiedotti kolmansien osapuolten tietoturvapuutteista erityisellä vikalistallaan. Bugikalleriaa päivitetään. Uuttakin on: Kun havaitaan vakava haavoittuvuus, siitä vastuussa olevat tahot, piiri- ja älypuhelinvalmistajat, tuodaan julkisuuteen.

Julkisuuden kanssa pelaaminen näyttää Googlen tiedotuksessa ikään kuin triviaalilta seikalta, mutta tosiasiassa medianäkyvyys ehkä onkin koko homman clue. Valmistajat reagoivat Googlen listauksiin esimerkiksi fraasiksi muuttuneelle teesillä: se ei ole bugi, se on ominaisuus.

Eräänlainen tietty linnarauha ja kauhuntasapaino näyttää nyt murtuneen kuin suuri pato, joka päästää ulos valtavan purkautumattoman paineensa.

Tiedetään, että puhelimeen esiasennetut sovellukset ja ajurit tekevät jotain muuta kuin mitä hövelisti kerrotaan: esiasennukset saattavat vuotaa salasanoja ja avata portteja. Myös erilaisia laitetietojen käyttöoikeuksia on vuotanut kolmansille osapuolille.

Erilaisia haavoittuvuuksia laitevalmistajien omissa sovelluksista ja mikrokoodeissa on epäilty löytyvän aina, ja tähän asti se on ollut tabu. Haavoittuvia kohtia ovat esimerkiksi prosessorien ja piirilevyjen omat ohjaimet. Rautataso toimii Googlen ylläpitämän Android-käyttöjärjestelmän kernelin alla.

Datavuodot menevät kuitenkin helposti käyttiksen valmistajan piikkiin, ja Googlelle näyttäisi tulleen mitta täyteen.

Android Partner Vulnerability Initiative löytää Android-käyttöjärjestelmän alla piilossa lymyävät haavoittuvuudet. Google linkittää listaansa teknologiavalmistaja Digitimen sekä piirivalmistajista Mediatekin.

Google nostaa Oppon-, Vivon-, ZTEn-, Transsion-, Meizun- ja Huawei-puhelimet tieturvaltaan kyseenalaisiksi.

Lista ei yllätä, koska se on kiinalaispainotteinen. Mutta ei se PVI myöskään mikään ihmekone ole, joka tekisi uusia löytöjä yötä päivää. Lista päivittyy hitaasti.

Android-ohjelmistosta löytyviä puutteita ei korosteta, mutta saattaa joskus olla vaikea osoittaa, oliko haavoittuvuutena muna (koodi) vai kana (rauta). Tämän analyysin sijaan fokukseen nostetaan laitevalmistajat. Näiden ilmiselvästi toivotaan julkisuuden myötä vastaavaan nopeammin esimerkiksi turva-aukkoihin koodattaviin päivityksiin. Se on tärkeä askel tietoturvan tiellä.

Monilla laitteilla paikkakoodien julkaisu on ollut liian verkkaista ja vastentahtoisen oloista.

Reijo Holopainen

VIIMEISIN ARTIKKELI

WordPress-ylläpito turvaa verkkosivujesi toiminnan

27.05.2025 |

WordPress-ylläpito on tärkeä osa verkkosivujen toimintaa. Moni yrittäjä ajattelee, että verkkosivut tehdään kerran ja sen … LUE LISÄÄ…

Multimediaesitysten luonti Microsoft Sway-työkalulla

26.03.2025 |

Microsoft Sway on selainpohjainen digitaalinen tarinankerrontatyökalu, jonka avulla voit luoda ja jakaa interaktiivisia esityksiä ja … LUE LISÄÄ…

Roundcube-webmailin käyttöohje

18.03.2025 |

Roundcube on suosittu webmail-sovellus, joka tarjoaa helppokäyttöisen käyttöliittymän sähköpostien hallintaan. Tässä ohjeessa käymme läpi yleisimmät … LUE LISÄÄ…

Asiakastarina: Lemmikkihoitola Moppe ja Miiru Oy

29.01.2025 |

”Lemmikit ovat ihmisen parhaita ystäviä ja perheenjäseniä.Tiedämme miten tärkeitä tunnesiteitä lemmikin ja omistajan välille syntyy.” … LUE LISÄÄ…

Miksi sähköposti ei lähde – Yleisimmät ongelmat ja SMTP-asetukset

17.01.2025 |

Sähköposti on olennainen osa yritysviestintää. Jos sähköpostit eivät lähde omalta koneelta, on tilanne usein hyvin … LUE LISÄÄ…

Katsaus Sollertiksen vuoteen 2024

10.01.2025 |

Vuosi on vaihtunut ja kaikki ovat palanneet työn ääreen. Halusin tehdä pienen katsauksen vuoteen 2024 … LUE LISÄÄ…

Hakukoneoptimointi – avain asiakkaiden löytämiseen digitaalisessa ostopolussa

03.01.2025 |

Tiesitkö, että tutkimuksien mukaan asiakkaan digitaalinen ostopolku alkaa useimmiten Googlettamalla? Kyllähän sinä sen varmasti tiesit, … LUE LISÄÄ…

Olemme ulkoistaneet laskutuksemme

27.11.2024 |

Olemme ulkoistaneet laskutuksen hoitamisen BRANG Oy:lle 02.12.2024 alkaen. Huomioithan, että laskulla oleva tilinumero on muuttunut ja suoritukset tulee … LUE LISÄÄ…