Kriittinen StrandHogg 2.0 -haavoittuvuus Android-laitteissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen StrandHogg 2.0 -haavoittuvuus Android-laitteissa

27. toukokuuta 2020 klo 11.44

Android käyttöjärjestelmästä on löydetty kriittinen haavoittuvuus (CVE-2020-0096), joka koskee aiempia kuin Android 10.0-versiota käyttäviä laitteita. Haavoittuvuuden avulla haitallinen Android-sovellus voi tekeytyä toiseksi sovellukseksi ja pyytää uusia käyttöoikeuksia sovellukselle tai esittää käyttäjälle väärennetyn kirjautumisruudun. Haavoittuvuuden löytänyt Promon security on antanut sille nimen StrandHogg 2.0. Haavoittuvuus on hyvin samanlainen kuin heidän aiemmin löytämänsä StrandHogg-haavoittuvuus.

StrandHogg 2.0 -haavoittuvuus mahdollistaa haitallisen ohjelman tekeytymisen toiseksi ohjelmaksi. Haavoittuvuuden avulla haitallinen sovellus voi toista sovellusta avattaessa pyytää uusia käyttöoikeuksia itselleen, kuten esimerkiksi SMS-viestien lukemiseen ja lähettämiseen, mikrofonin kuunteluun, valokuvien ottamiseen, laitteen sijaintitietoon,  yhteystietoihin sekä puhelulokeihin. Lisäksi haitallinen sovellus voi näyttää toista sovellusta avattaessa väärennetyn kirjautumisruudun, johon syötetyt tunnukset päätyvät rikollisten haltuun. 

Haavoittuvuuden hyväksikäytön havaitseminen on hankalaa sillä haitallinen sovellus voi tekeytyä esimerkiksi karttasovellukseksi ja pyytää oikeutta sijaintitietoihin. Haavoittuvuuden hyödyntäminen ei vaadi järjestelmätason oikeuksia (root).

Haavoittuvuuden löytäneet tutkijat kertovat, että tämä haavoittuvuus on hankalampi huomata kuin aikaisempi StrandHogg-haavoittuvuus.

Haavoittuvuuden kohde

Android-versiot < 10.0 ovat haavoittuvia.

  • (Tutkijat eivät ole vielä testanneet, ovatko Android-versiot < 4.0.1 myös haavoittuvia.)

Mistä on kysymys?

Google on julkaissut haavoittuvuuden korjaavan päivityksen Android-versioille 8.0, 8.1 ja 9 (CVE-2020-0096).

TechCrunch kirjoittaa Googlen kertoneen, että Google Play Protect -palvelu huomaa StrandHogg 2.0 -haavoittuvuutta hyväksikäyttävät sovellukset.

Alla on listattu muutamia keinoja, joilla StrandHogg 2.0-haavoittuvuuden hyödyntämistä voi pyrkiä tunnistamaan:

  • Sovellus, johon olet jo kirjautunut pyytää kirjautumaan uudelleen
  • Käyttöoikeuksien pyynnöt ilman sovelluksen nimeä
  • Sovelluksen käyttötarkoitukseen liittymättömät käyttöoikeuspyynnöt
  • Sovelluksen painikkeet eivät toimi odotetulla tavalla tai ollenkaan

Tutkijat ovat julkaisseet haavoittuvuudesta kuvauksen, josta löytyy tarkemmat ohjeet sovelluskehittäjille Android-sovellusten suojaamiseen.

Mitä voin tehdä?

Sulautetut järjestelmät

Sulautetun järjestelmän muodostavat laite ja sen sisältämä ohjelmisto yhdessä. Kuluttajien käyttämistä laitteista varsin monia voidaan pitää sulautettuina järjestelminä. Esimerkki tällaisesta on digitaalisten tv-lähetysten katselemiseen tarvittava digiboksi.

Matkaviestinjärjestelmät

Matkaviestinjärjestelmiin luokitellaan kannettavien päätelaitteiden, kuten puhelinten ja dataliikennekorttien lisäksi matkapuhelinverkon laitteet.

Paikallisesti

Paikallisesti tapahtuvan hyökkäyksen voi tehdä vain pääsemällä hyökkäyksen kohteena olevan laitteen luokse ja käyttämällä sitä paikallisesti. Paikallista hyökkäystä ei voi tehdä verkkoyhteyden kautta.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Käyttövaltuuksien laajentaminen

Käyttövaltuuksien laajentaminen mahdollistaa järjestelmän käyttämisen esimerkiksi pääkäyttäjänä, tavallista käyttäjää laajemmin valtuuksin.

Ei julkaistu

Haavoittuvuuden käyttöaste ei ole tiedossa.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.