Google paljasti haavoittuvuuksia laitealustoissa

Kyberhyökkäykset terveydenhuollon toimijoita vastaan koronapandemian aikana ovat tuomittu erityisen raukkamaisina tekoina. Kansainvälistä koronatutkimusta tekevä softafirma eResearchTechnology joutui viime vuoden puolella kiristysohjelmahyökkäyksen uhriksi. eResearchTechnologyn ohjelmia käytetään kliinisissä kokeissa Pohjois-Amerikassa, Euroopassa ja Aasiassa.

Osin kyberiskuissa on käytetty haavoittuvuuksia, jotka ovat syvällä käyttöliittymän alla, eikä käyttöjärjestelmävalmistaja pääse estämään niitä.

Tämä on pääsyy siihen, miksi Googlen haavoittuvuusskanneri Android Partner Vulnerability Initiative (PVI) tuotiin julkisuuteen. Tutka etsii haavoittuvuuksia piireistä ja erityisesti Androidia käyttävien puhelinvalmistajien laitteista.

Google julkaisi vikalistan

Google tiedotti kolmansien osapuolten tietoturvapuutteista erityisellä vikalistallaan. Bugikalleriaa päivitetään. Uuttakin on: Kun havaitaan vakava haavoittuvuus, siitä vastuussa olevat tahot, piiri- ja älypuhelinvalmistajat, tuodaan julkisuuteen.

Julkisuuden kanssa pelaaminen näyttää Googlen tiedotuksessa ikään kuin triviaalilta seikalta, mutta tosiasiassa medianäkyvyys ehkä onkin koko homman clue. Valmistajat reagoivat Googlen listauksiin esimerkiksi fraasiksi muuttuneelle teesillä: se ei ole bugi, se on ominaisuus.

Eräänlainen tietty linnarauha ja kauhuntasapaino näyttää nyt murtuneen kuin suuri pato, joka päästää ulos valtavan purkautumattoman paineensa.

Tiedetään, että puhelimeen esiasennetut sovellukset ja ajurit tekevät jotain muuta kuin mitä hövelisti kerrotaan: esiasennukset saattavat vuotaa salasanoja ja avata portteja. Myös erilaisia laitetietojen käyttöoikeuksia on vuotanut kolmansille osapuolille.

Erilaisia haavoittuvuuksia laitevalmistajien omissa sovelluksista ja mikrokoodeissa on epäilty löytyvän aina, ja tähän asti se on ollut tabu. Haavoittuvia kohtia ovat esimerkiksi prosessorien ja piirilevyjen omat ohjaimet. Rautataso toimii Googlen ylläpitämän Android-käyttöjärjestelmän kernelin alla.

Datavuodot menevät kuitenkin helposti käyttiksen valmistajan piikkiin, ja Googlelle näyttäisi tulleen mitta täyteen.

Android Partner Vulnerability Initiative löytää Android-käyttöjärjestelmän alla piilossa lymyävät haavoittuvuudet. Google linkittää listaansa teknologiavalmistaja Digitimen sekä piirivalmistajista Mediatekin.

Google nostaa Oppon-, Vivon-, ZTEn-, Transsion-, Meizun- ja Huawei-puhelimet tieturvaltaan kyseenalaisiksi.

Lista ei yllätä, koska se on kiinalaispainotteinen. Mutta ei se PVI myöskään mikään ihmekone ole, joka tekisi uusia löytöjä yötä päivää. Lista päivittyy hitaasti.

Android-ohjelmistosta löytyviä puutteita ei korosteta, mutta saattaa joskus olla vaikea osoittaa, oliko haavoittuvuutena muna (koodi) vai kana (rauta). Tämän analyysin sijaan fokukseen nostetaan laitevalmistajat. Näiden ilmiselvästi toivotaan julkisuuden myötä vastaavaan nopeammin esimerkiksi turva-aukkoihin koodattaviin päivityksiin. Se on tärkeä askel tietoturvan tiellä.

Monilla laitteilla paikkakoodien julkaisu on ollut liian verkkaista ja vastentahtoisen oloista.

VIIMEISIN ARTIKKELI

ActiveCampaignilla onnistut sähköpostimarkkinoinnissa

7.12.2022 |

Tuntuuko sähköpostimarkkinointi työläältä? Tässä blogitekstissä esittelen sinulle helpon … LUE LISÄÄ…

Toimiiko Facebook-markkinointi yrityksessäni?

7.12.2022 |

Facebook on yksi maailman suosituimmista sosiaalisen median alustoista. … LUE LISÄÄ…

Sometrendit 2022 + webinaaritallenne

7.12.2022 |

Vuosi 2022 on vaihtunut vauhdilla somemaailmassa. Uuden vuoden … LUE LISÄÄ…

Hyödynnä Facebook-pikseliä somemarkkinoinnissa

7.12.2022 |

Oletko kuullut Facebook-pikselistä, mutta oma aika ei ole … LUE LISÄÄ…

Harjoittelijan arkea Sollertiksella

7.12.2022 |

Esittely itsestäni  Olen Anna ja opiskelen muotoilualaa neljättä ja viimeistä vuotta. Olin hakemassa harjoittelupaikkaa ja … LUE LISÄÄ…

Yoast SEO -lisäosa hakukone­optimoinnin suunnan­näyttäjä

7.12.2022 |

Hakukoneoptimointi pyörii monien huulilla – mitä se tarkoittaa, … LUE LISÄÄ…

Mitä verkkosivuprojektista on hyvä tietää?

7.12.2022 |

Verkkosivuprojekti voi kuulostaa varsin haastavalta. On helppoa upota … LUE LISÄÄ…