Android-laitteita koskevaa StrandHogg-haavoittuvuutta hyödynnetään haittaohjelmissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Android-laitteita koskevaa StrandHogg-haavoittuvuutta hyödynnetään haittaohjelmissa

3. joulukuuta 2019 klo 14.50

Android käyttöjärjestelmästä on löydetty haavoittuvuus, joka koskee kaikkia yleisimpiä Android-versioita. Haavoittuvuuden avulla haitallinen Android-sovellus voi tekeytyä toiseksi sovellukseksi ja pyytää uusia käyttöoikeuksia sovellukselle tai esittää käyttäjälle väärennetyn kirjautumisruudun. Haavoittuvuutta on hyödynnetty ainakin BankBot-haittaohjelmakampanjassa Tšekissä. Haavoittuvuuden löytänyt Promon security on antanut sille nimen StrandHogg.

StrandHogg-haavoittuvuus perustuu Androidin moniajossa olevaan haavoittuvuuteen ja mahdollistaa haitallisen ohjelman tekeytymisen toiseksi ohjelmaksi. Haavoittuvuuden avulla haitallinen sovellus voi toista sovellusta avattaessa pyytää uusia käyttöoikeuksia itselleen, kuten esimerkiksi SMS-viestien lukemiseen ja lähettämiseen, mikrofonin kuunteluun, valokuvien ottamiseen, laitteen sijaintitietoon ja yhteystietoihin. Lisäksi haitallinen sovellus voi näyttää toista sovellusta avattaessa väärennetyn kirjautumisruudun, johon syötetyt tunnukset päätyvät rikollisten haltuun. 

Haavoittuvuuden hyväksikäytön havaitseminen on hankalaa sillä haitallinen sovellus voi tekeytyä esimerkiksi karttasovellukseksi ja pyytää oikeutta sijaintitietoihin. Haavoittuvuuden hyödyntäminen ei vaadi järjestelmätason oikeuksia (root).

Tietoturvayhtiö Lookout tunnisti 36 Android-sovellusta, jotka hyödyntävät StrandHogg-haavoittuvuutta. Google on poistanut kyseiset sovellukset sekä ilmoittaa estävänsä vastaavien sovellusten julkaisun Google Play Kaupassa.

Haavoittuvuuden kohde

Kaikki Android versiot

Mistä on kysymys?

Alla on listattu muutamia keinoja, joilla StrandHogg-haavoittuvuuden hyödyntämistä voi pyrkiä tunnistamaan:

  • Sovellus, johon olet jo kirjautunut pyytää kirjautumaan uudelleen
  • Käyttöoikeuksien pyynnöt ilman sovelluksen nimeä
  • Sovelluksen käyttötarkoitukseen liittymättömät käyttöoikeuspyynnöt
  • Sovelluksen painikkeet eivät toimi odotetulla tavalla tai ollenkaan

Mitä voin tehdä?

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Ei päivitystä

Haavoittuvuuden tultua julki ei korjausta siihen ole välttämättä heti saatavilla. Kohdejärjestelmät ovat alttiita haavoittuvuuden hyväksikäytölle jos niiden suojaamiseksi ei ryhdytä toimenpiteisiin.