Etusivu: Kyberturvallisuuskeskus
Siirry hakuun

Android-laitteita koskevaa StrandHogg-haavoittuvuutta hyödynnetään haittaohjelmissa

Haavoittuvuus22/2019

Android käyttöjärjestelmästä on löydetty haavoittuvuus, joka koskee kaikkia yleisimpiä Android-versioita. Haavoittuvuuden avulla haitallinen Android-sovellus voi tekeytyä toiseksi sovellukseksi ja pyytää uusia käyttöoikeuksia sovellukselle tai esittää käyttäjälle väärennetyn kirjautumisruudun. Haavoittuvuutta on hyödynnetty ainakin BankBot-haittaohjelmakampanjassa Tšekissä. Haavoittuvuuden löytänyt Promon security on antanut sille nimen StrandHogg.

StrandHogg-haavoittuvuus perustuu Androidin moniajossa olevaan haavoittuvuuteen ja mahdollistaa haitallisen ohjelman tekeytymisen toiseksi ohjelmaksi. Haavoittuvuuden avulla haitallinen sovellus voi toista sovellusta avattaessa pyytää uusia käyttöoikeuksia itselleen, kuten esimerkiksi SMS-viestien lukemiseen ja lähettämiseen, mikrofonin kuunteluun, valokuvien ottamiseen, laitteen sijaintitietoon ja yhteystietoihin. Lisäksi haitallinen sovellus voi näyttää toista sovellusta avattaessa väärennetyn kirjautumisruudun, johon syötetyt tunnukset päätyvät rikollisten haltuun. 

Haavoittuvuuden hyväksikäytön havaitseminen on hankalaa sillä haitallinen sovellus voi tekeytyä esimerkiksi karttasovellukseksi ja pyytää oikeutta sijaintitietoihin. Haavoittuvuuden hyödyntäminen ei vaadi järjestelmätason oikeuksia (root).

Tietoturvayhtiö Lookout tunnisti 36 Android-sovellusta, jotka hyödyntävät StrandHogg-haavoittuvuutta. Google on poistanut kyseiset sovellukset sekä ilmoittaa estävänsä vastaavien sovellusten julkaisun Google Play Kaupassa.

Kohde

  • Sulautetut järjestelmät
  • Matkaviestinjärjestelmät

Hyökkäystapa

  • Paikallisesti

Vaikutukset

  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen

Hyväksikäyttömenetelmä tiedossa

  • Rikollisessa käytössä

Ratkaisu

  • Ei päivitystä

Haavoittuvat ohjelmistot

Kaikki Android versiot

Ratkaisu- ja rajoitusmahdollisuudet

Alla on listattu muutamia keinoja, joilla StrandHogg-haavoittuvuuden hyödyntämistä voi pyrkiä tunnistamaan:

  • Sovellus, johon olet jo kirjautunut pyytää kirjautumaan uudelleen
  • Käyttöoikeuksien pyynnöt ilman sovelluksen nimeä
  • Sovelluksen käyttötarkoitukseen liittymättömät käyttöoikeuspyynnöt
  • Sovelluksen painikkeet eivät toimi odotetulla tavalla tai ollenkaan

Lisätietoja