Ads 468x60px

maanantai 17. joulukuuta 2012

Samsungin lippulaivapuhelimissa vakava tietoturva-aukko

Samsungin älypuhelimista on paljastunut vakava haavoittuvuus, jonka avulla sovellukset pääsevät laitteeseen käsiksi pääkäyttäjän oikeuksilla. Käytännössä tämä tarkoittaa, että tavallinen sovellus pääsee ohittamaan kaikki sovelluksen toiminnalle asetetut rajoitukset.

Haavoittuvuus on Exynos-pohjaisten laitteiden Android-käyttöjärjestelmässä. Haavoittuvuus koskee siis ainoastaan Samsungin laitteita, eikä vastaava reikää pitäisi muiden valmistajien laitteista löytyä. Vika on oikeuksissa, jotka on asetettu Androidin /dev/exynos-mem -laitteelle käyttöjärjestelmässä. Luku- ja kirjoitusoikeudet on myönnetty kaikille käyttäjille, mikä tarkoittaa, että myös tavalliset sovellukset voivat lukea ja kirjoittaa suoraan laitteen muistiin, mukaan lukien käyttöjärjestelmän ytimen muistin. Tätä kautta on mahdollista injektoida omaa koodiaan esimerkiksi kerneliin ja sitä kautta saada laite hallintaansa. Reiän avulla tavalliset sovelluskaupoista ladattavat sovellukset voivat siis korottaa oikeuksiaan tasolle, jonka ei pitäisi olla mahdollista.

Harrastajia tämä kiinnostaa erityisesti, mikäli haluaa asentaa laitteelleen jonkin vaihtoehtoisen järjestelmän. Hakkeria houkuttelee luonnollisesti mahdollisimman moneen laitteeseen tunkeutuminen ja esimerkiksi vakoiluohjelmien asentaminen tai laitteeseen tallennettujen tietojen varastaminen. Pääkäyttäjän oikeuksilla pääsee käsiksi esimerkiksi palveluiden salasanoihin ja kaikkien sovellusten tallentamiin tietoihin.
Hyväksikäyttö vaatii siis haittasovelluksen asentamista laitteeseen. Mahdollisuuksia minkäänlaiseen etähyökkäykseen ei ole. Ennen korjauksen julkaisua kannattaa siis harkita uusien sovelluksien asennusta.

Korjausta ei ole vielä saatavilla, mutta Samsung on jo ilmoittanut reagoivansa haavoittuvuuteen, eli korjaava päivitys julkaistaneen piakkoin. Myös hack-tyylinen korjaus on siihen kykenevillä tarjolla, mutta oikeuksien muuttaminen estää ainakin kameran toiminnan kyseisissä laitteissa.

Haavoittuvien puhelimien lista on vaihdellut hieman lähteestä riippuen. Haavoittuviksi on nimetty ainakin Galaxy S2, Galaxy S3, Note 2, Note 10.1 ja Note Plus. Käytännössä haavoittuvia ovat laitteet, joissa on Samsungin Exynos-sirun tiettyihin versioihin perustuva järjestelmä. Exynos on Samsungin System-on-a-chip ratkaisu, jossa puhelimen tärkeimmät piirit on paketoitu yhdeksi kokonaisuudeksi.

-Antti A

Lähteet:
http://forum.xda-developers.com/showthread.php?p=35469999#post35469999
http://www.theregister.co.uk/2012/12/17/samsung_exynos_flaw/
http://www.mikropc.net/kaikki_uutiset/samsungin+androidlaitteista+paljastui+paha+tietoturvariski+vuotaa+kayttajan+tiedot/a864786

Ei kommentteja:

Lähetä kommentti