Category Archives: Android

Põhjalikumalt Androidi turvaaugust

nutitelefon

Anto Veldre, RIA analüütik

Paaril viimasel päeval prõmmivad mitmed uudiseportaalid pomm-uudist, et enamikes Android-seadmetes on hull turvaauk. No on jah. Ei ole Androidi puhul esimene ega ilmselt mitte ka viimane auk.

Kuid nagu löökaukudel ikka, ajalugu on ka oluline. Android tarvitab üht teatavat StageFright nimelist teeki selleks, et reguleerida meediafailide vaatamist kasutajate poolt (DRM).
See võimaldab tekitada digitaalset sisulõhet – tagamaks, et maksev klient näeb digisisu. Arvet peetakse siiski kõigi huviliste üle.

Kuid kui mingi asi reguleerib ligipääsu, siis eeldatakse vaikimisi, et see miski on seotud turvaga ning lisaküsimusi ei esitata. Ju on keegi turva peale mõelnud. Praktikas juhtub ka teisiti – tähtis piiranguteek StageFright sisaldab olulisi vigu ning samas on talle Androidi sees antud liiga suured õigused.

Kõrvalepõikena – Androidi puhul paiknevad üksteise peal tegelikult kaks õiguste süsteemi. Üks asub sügaval Linuxi “kõhus” ning annab StageFright teegile “system” grupi õigused. Ilmutatud tasandil (nn lubade süsteem) saab aga kasutaja oma turvaolukorda pisut ka ise mõjutada, keeldudes äppidest, mis nõuavad paigaldamisel ülemäära palju õigusi.

loabitid

Vahemikus Android 2.2 kuni Android 5.1.1 on haavatavad kõik versioonid. Arvatakse, et asi puudutab umbes 950 miljonit nimetatud op-süsteemiga seadet – tahvleid, telefone. Oht tuleneb mobiilse side võimalustest – kui seade on rünnatav 24/7/365, siis on kuritarvitamise potentsiaal kõrge.

Turvaaugu ärakasutamine on lihtne – kasutaja telefoni täielikuks ülevõtmiseks piisab, kui saata talle (näiteks uneajal) sobiliku sisuga multimeediasõnum (MMS). Omaniku ärkamise hetkeks on andmed juba varastatud ja kontroll telefoni üle antud mõnele ründekonstruktorile (exploit kit). Eriti “rõõmustavad” firmad ja riigiasutused, kes kasutavad Androide oma turvatud sisevõrgu teenuste (näiteks e-mail, dokumendid) tarbimiseks.

Ohust arusaamiseks on vaja mõista Androidi levitusmudeli iseärasusi. Kuigi AndroidOS ise kuulub Google’ile, siis iga telefonifirma või teenusepakkuja modifitseerib originaali (näiteks mõnedele Eestis levitatud tahvlitele on sisse ehitatud Eesti Ekspressi digileht, viisil, et seda ei ole võimalik eemaldada).

Eestis on väga populaarsed just Samsungi telefonid, selle firma versioonid Androidist on kohati tundmatuseni mugandunud. Tulemuseks on väga killustatud turg, ning palju väikesi tegijaid, kel lihtsalt puudub suutlikkus turvauuendusi toota. Selle teema huvilised saavad teemakohaseid värvilisi pilte vaadata siit.

Tänane seis – Google on AndroidOS algkoodis turvaaugu küll ära parandanud, kuid enamike potentsiaalsete ohvriteni see parandus ei jõua, sest telefonifirma (nagu Samsungi) või sidefirma poolt mahamüüdud Android-seade on juba modifitseerija vastutada. Loomulik, et aja jooksul kaob tootjal ning edasimüüjal huvi – kuluefektiivsem on turgu ekstensiivselt edasi vallutada, kui vanade rontidega mässata.

Ravi: hetkel saab iga kasutaja ise midagi ära teha, et sigadus ei jõuaks temani automaatselt; piisab kui MMS (ehk multimeediasõnumite) sättungites automaat-avamine (“Toomine”) ära keelata. Neil, kes omi MMS’e HangOut’i abil vaatavad, tuleks sama teha ka sealsetes sättungites. Kahjuks tuleb tõdeda, et vanemates Androidides säärane häälestuskoht puudub…

Näiteks Androidis 4.4.2 menüüs käib asi sedasi: Sõnumid -> Seaded -> Multimeediumsõnumi seaded -> “Automaatne toomine” – siit tagant peaks hetkel küll linnukese maha võtma.

Eesti keele puhul on vaja silmas pidada veel üht asjaolu – õ-tähe ülekasutamine soodustab mahuületust ning mahuületus omakorda soodustab multimeediasõnumiks teisendamist.

Turvaugu kuritarvitamise sügavast tehnilisest sisust tuleb juttu BlackHat/DefCon üritustel USAs selle aasta augusti alguses ja siis avaldatakse ka täpne rünnakukood. Kuigi tunne on, et osavad häkkerid suudavad kurja MMS saata ka ilma loenguid kuulamata. Ning hetkest, mil (öised) MMS’id saabuvad, võib enamiku vanemaid telefone ilmselt minema visata.

Üks nüanss asja juures siiski on – telefonifirmade logidesse jääb MMS kuritarvitamisest hästi dokumenteeritud kirje. Digikorralikus riigis nagu Eesti tähendab see mõningat, kuigi mitte liiga efektiivset heidutust, kuid sõnumid võivad saabuda ka välismaalt…

Vist on aeg, et ka meie siin Maarjamaal oma telefonimüüjatelt ostu tehes sagedamini küsima – kui kaua on plaan seda seadet toetada? Ja kas tugi sisaldab ka suuremate turvaaukude parandamist?

Kurjad keeled tögavad, et omaniku ainuke šanss on oma vana föön või pihukas ära ruutida ning auklik StageFright sedakaudu tasalülitada, kuid ruutimise riskidest oleme varem juba kirjutanud ning tavakasutajale seda küll soovitada ei saa – ravides välja ühe ohu, võid saada kümme uut asemele…

The Register’i artiklis spekuleeritakse, et tootjad ei hakkagi uuendama vanemat kui Android 4.1 JellyBean versiooni (samas kui hetkel viimane versioon on Android 5.1.1 Lollipop) ning ironiseerivad, et kasutaja võiks võtta haamri ja oma Androidi turvakaalutlustel puruks lüüa. Kui üks juhtivaid IT-uudiste portaale teeb säärast mõru nalja, siis on asi piisavalt tõsine.

[Lisatud 2015-08-11]: Avaldati info veel teisegi suurema Androidi turvaaugu kohta – turvanõrkusest CVE-2015-3825 on hindamisi puudutatud kuni 55% Android-seadmetest.

Lisainfot:

1. http://www.theregister.co.uk/2015/07/27/android_phone_text_flaw/
2. https://threatpost.com/android-stagefright-flaws-put-950-million-devices-at-risk/113960
3. http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
4. http://venturebeat.com/2015/07/27/researchers-find-vulnerability-that-affects-95-of-android-devices/
5. http://www.bloomberg.com/news/videos/2015-07-27/950-million-android-phones-vulnerable-to-hacks
6. Twitter, kasutajad @ZIMPERIUM, @jduck
7. CERT-FI hoiatus: https://www.viestintavirasto.fi/kyberturvallisuus/haavoittuvuudet/2015/haavoittuvuus-2015-067.html

Mädakohti Androidis, kuukulguris ja bosside edulugudes

CERT-EE infoturbe ekspert Anto Veldre jagab eelmisel kahel nädalal ülestähendatud (k)überhuvitavat infot laiast maailmast.

IBM insenerid avastasid Androidist järjekordse mädakoha. Ohustatud on Androidi kõik versioonid peale kõige viimase (4.4 ehk KitKat).

Viga leiti tegelikult juba eelmise aasta 9. septembril ning vahepealne aeg kulus Kitkat-versiooni paikamiseks. Viga leiti Keystores-teenuse seest, ehk siis koodijupist, mis vastutab krüptovõtmete turvalise hoidmise eest Androidi seadmes. Kui kuriprogramm pääseb ligi Keystores-teenusele ja kasutab järjekordse võtme nimetuses protsessori käske, siis tulemused on ettearvamatud. Halvimal juhul tekib Androidi sees totaalne ligipääs kõigele, ilma igasuguste kasutajaõiguste ja piiranguteta. Paroolide pihtapanek oleks sel juhul juba suhteliselt pisiasi.

Välismaa statistika kohaselt on 86% Android-seadmetest mingit muud versiooni kui 4.4 – järelikult selle turvavea eest kaitsmata – ning vaid 14% kasutab kõige viimast, nn KitKat versiooni. Ning – ei, versiooni nimetusel pole mingit seost meie hiljutise austatud külalise Jason Kitcatiga.

Nagu turvaasjadega ikka, viga iseenesest on ilmne ja kole. Kuid et seda ärakuritarvitada, tuleb eelnevalt telefonile ligi saada mõne pahaprogrammiga. Kas Sinu telefoni saab ver 4.4. peale uuendada? Oled Sa seda juba teinud? Kas Sul on telefonis viirustõrje, mis pahad programmid ära tunneb?

———————————

Profiliiga itimeestele, kes julgevad pidada MySQL serverit avaliku interneti ääres, olgu siinkohal üks Venemaalt püütud vihje (vene keeles) MySQLi vigaste veateadete kohta. Kuidas ajada serverile kägu nii, et see oma andmed reedaks? Tüssamine toimub veateadete kaudu, mis reedavad rohkem infot, kui server tohiks välja anda.

mysql

Hoiatus: ka hea vene keele oskusega tavainimesele (st mitte itimehele) on kirjutatu arusaamatu…

———————————–

Maarjamaisel küberaktsiaseltsil Cybernetica õnnestus äramärkimist leida väljaandes BusinessWire.com.  Kiidetakse eestlaste pädevust ja e-valimisi ja nimetatakse isegi Tartu linna (kus Cybernetica küberosakond põhiliselt asubki).

———————————–

Eelmise nädala naelaks kujunes kindlasti 20 aastat vana turvaviga, mis ühest koodist teise kopeerituna on “Curiosity” kulguri pardaarvutis jõudnud juba ka Marsile.

Aastal 1994 kirjutas programmeerija Markus ühe pakkimisalgoritmi (täpsemalt LZO) koodi. Ja et kood oli hea ja kiire (4–5 korda kiirem muudest pakkimisalgoritmidest), siis on see peaaegu muutusteta rännanud tuhandetesse süsteemidesse. Selles ju seisnebki koodikirjutamise võlu: muudkui kopeerid ja pasteerid 🙂

LZO pakkimisalgoritm on näiteks kasutusel Linuxi kerneli pakkimisel (küll ühena võimalikest alternatiividest) ja Androidi kerneli pakkimiseks.

Nüüd siis aga selgus, et Markus tegi aastal 1994 ka pisikese vea: kasutas muutujat “t” pisut hooletult. Mitte et ründamine väga lihtne oleks, kuid kõrge kvalifikatsiooniga häkker saab muutuja “t” solkimisega hakkama küll. Sel moel on tegu justkui Laatsaruse ülestõusmisega, võtab blogi turvavea piibliteemaga kokku.

Õnneks, nagu turvavigade avaldamisel heaks tavaks, on ohustatud süsteemid enamjaolt juba ära paigatud.

————————————-

Pisukese poliitilise kallakuga artiklis räägitakse küberkolonialismist. Küberkolonialism on siis olukord, kus ühel riigil õnnestub eri meetoditega teisele peale sundida omaenda tagauksi. Näitena tuuakse, et Venemaa valitsus soovib oma riigi arvutitest kõrvaldada USAs toodetud protsessorid.

————————————–

Hiljuti leidis aset järjekordne riigitrooja skandaal (Riigitrooja nimi pärineb saksakeelsest “BundesTrojan” sõnast). Tegemist on siis justkui hea asjaga, mida politsei vastavalt vajadusele ja kohtu loal istutab pättide ja kaabakate arvutitesse, et nende toimetamisi pealt kuulata.

Kuid reaalsuses pole asjad kunagi liiga lihtsad, ühe mehe pätt ja kaabakas võib vabalt osutuda teise mehe vabadusvõitlejaks. Vahel võib võimudele ette sattuda muud infot, mille puhul tekib kiusatus seda riigi hüvanguks ära kasutada. Vahel müüakse riiklikku pahavara riikidesse, kus meie mõistes ausaid inimesi selle abil ahistatakse ja vanglasse pistetakse. Mistõttu suhtumine riigitroojadesse on maailmas üldiselt kahtlev.

Sedakorda siis avastasid Kasperski analüütikud, et Itaalis asuv firma RCS on unustanud oma käpajälje tarkvarasse, ning et “RCS” sõna alusel on võimalik riigitrooja kogumispunktid kergesti üles leida. Eestit nimekirjas pole.

————————————–

Lõpuks ka ühest häbitust äralollitamiskatsest. Petturid on oma tegevuse suunanud lastele (või lihtsameelsetele ja kriitilise mõtlemiseta isikutele) pealkirja all “Kuidas teenida rohkem raha kui mistahes BOSS! EDULUGU”. Lugu ise on vana ja tuntud, aga ega ülekordamine halba tee.

Võimalik, et Sa kohtad netiavarustes seigeldes säärast reklaampilti:
rahaboss

Kui pildil klikkida, satud Sa aga petusaidile: http://phewx.com/barceloona.

Arvestus on lihtne: laps näeb tuttavaid võtmesõnu nagu “rahaboss” ja kooliõpetaja pilti, mis peaks teda veenma kogu järgneva juhise suhtelises ohutuses. Laps näeb BMW pilti, mis loomulikult liigitub ihaldusväärsete seisuseatribuutide kilda. Pikk väärtpaberialane möla
jääb lastele muidugi arusaamatuks ja seda ettekavatsetult. Põhiline, et terendab võimalus kiirelt rikkaks saada. Rikkaks aga saab moel, et võetakse vanemate krediitkaart (mis sisuliselt on vargus) ja selle abil saadetakse nõutud sissemakse.

Loomulikult pole säärase näoga Jaak Pärna olemaski, ammugi siis pole säärane Tallinnas algkooliõpetajana töötanud, tegemist on nn stock fotoga. Seda, et õpetaja eksib õigekirjas “kauplemis [tühik] strateegia”, laps muidugi ei märka. Sellest, et antud skeem propageerib “haletsust” kooliõpetaja elatustaseme suhtes, parem siinkohal ei räägigi.

Moraal: tegu on petuskeemiga: tegelikult sel moel muidugi rikkaks ei saa, st ohvrite raha eest saab rikkaks hoopis keegi teine. Väärtpaberite, futuuride ja võlakirjadega kauplemine on keeruline bisnes, mida tuleb aastaid õppida. Lisaks veel tuntud reegel, et investeerida tohib
vaid seda raha, mis on üle, võlguvõetud rahaga ei õnnestu kiirrikastumine kindlasti.

————————————–

Efektisõpradele: turvafirma Norse on  internetti üles pannud sadu meepotte üle maailma ja visualiseerib nende vastaseid ründeid.