S60 korkattiin kunnolla, väittävät hakkerit
Symbian v9:n tietoturvaan on luotettu lähes sokeasti, mutta tänään ainakin F-Secure tiedotti, että S60 3rd Edition -puhelimissa on tietoturva-aukko. Haavoittuvuus on Symbianin tasolla, ja se saattaa siten olla myös UIQ-laitteissa.
Menin heti tänään katsomaan, miten S60-tietoturvablogi kommentoi asiaa. Ei mitenkään. Ei se tosin näytä aikoihin päivittyneen muutenkaan.
Symbianin suojausten ohittamisesta on levinnyt juttuja ainakin viime perjantaista alkaen, esimerkiksi Symbian-Freak.com:n artikkelissa ja foorumeilla. F-Secure lähetti asiasta tänään lehdistötiedotteen ja linkkasi siinä weblogiinsa.
Soitin F-Securelle ja sain lisätietoja uutiseen. Soitin myös Nokialle, mutta paljon ei osattu vielä kertoa. Vanha vinkki sikäli pätee, että jos ei asenna softaa epäluotettavista lähteistä, tämänkin voi välttää.
Kiinnostavaksi tapauksen tekee se, että joku saattaa haluta asentaa tämän ohjelmanpätkän. Jos käytössä on operaattorilta kytkykaupalla hankittu SIM-lukittu puhelin, sellaiset suojaukset voidaan nyt ohittaa.
F-Securen mukaan oikeuksien tarkistusten ohittaminen tekee mahdolliseksi Cabirin, Commwariorin ja muiden vastaavien kaltaiset haittaohjelmat ensimmäistä kertaa S60 3rd Editionille. Epäselvää vielä on, voidaanko ongelma korjata S60-laitteiden firmware-päivityksillä.
Tunnisteet: S60, Symbian, Tietoturva
Kommentit: 6
Ongelma taitaa olla kännyköissä ei juuri ole 'automatic software update' toimintoa (siis sellaista joka ei vaatisi muuta kuin 'ok':n painamisen käyttäjältä). Sellainen olisi ihan kätevä - ainakin pienet security updatet voisivat tulla verkon yli.
Jos asentaa vain symbiansigned ohjelmia, ei pitäisi saada viruksia. Näin vaikka on pystetty murtamaan puhelimen suojaus, kräkkerit eivät silti pysty allekirjoittamaan omia ohjelmia symbiansigned tms avaimilla.
>Jos käytössä on operaattorilta
>kytkykaupalla hankittu SIM-lukittu
>puhelin, sellaiset suojaukset
>voidaan nyt ohittaa
Voidaanko, ymmärsin ettei voi esim SIM lukitusta tuolla poistaa.
Fsecure kyllä taitaa vähän liioitella, viruksen leviäminen tarkoittaisi että suuret massat murtaisivat ensin luurinsa.
Anonyymi kirjoitti:
"Voidaanko, ymmärsin ettei voi esim SIM lukitusta tuolla poistaa."
Ninä taas ymmärsin, että suojausten purkamisen jälkeen Symbian v9 -laitteen ROM:iin pääsee kirjoittamaan vapaasti.
F-Secure ei ole tiedotteessaan tai ainakaan minulle väittänyt, että tuo koodi mahdollistaisi leviämisen. Tämän hetken tietojen mukaan leviäminen vaatisi todella tehokkaan ns. sosiaalisen huijauksen.
Nokiasta ei osattu tänään kertoa asiasta juuri mitään, ja nimettömiin lähteisiin en luota.
>F-Secure ei ole tiedotteessaan tai
>ainakaan minulle väittänyt,
Tietokone lehden uutisessa saattoi lukijalla jäädä sellainen kuva
Jossa sanotaan
"Teknisesti haavoittuvuus mahdollistaisi Cabirin, Commwariorin ja muiden haittaohjelmien tuomisen S60 3rd Edition -alustalle. Tämä ei ole ollut aiemmin mahdollista."
Kuitenkin ollaa aika kaukana tuosta.
Mistä tiedät, että ollaan kaukana?
Nyt kun mahdollisuus on tullut laajasti julki, haittaohjelman saapuminen lienee vain ajan kysymys.
Tai sitten asiasta on F-Securen kautta tullut aivan väärää tietoa. Saa antaa korjattua tietoa, jos niin on.
F-Securella on tietysti houkutus tässä liioitella uhkaa, väittämättä siis että niin on nyt tapahtunut, mutta tuppaan luottamaan enemmän nimellään esiintyviin kuin nimettömiin lähteisiin.
SIM-lukon kiertäminen ei välttämättä onnistu tätä kautta, se on käsittääkseni Nokian puhelimissa aika "syvällä".
Haittaohjelmat ovat ihan todellinen riski, koska tämä hommahan toimii niin, että "HelloCarbide"-ohjelma avaa täysin itsenäisesti luurissa ilman vaikkapa tietokoneen apua kaikki nk. capabilityt. Samaa kikkaa hyödyntäen joku voisi kirjoittaa troijalaisen tai viruksen jolla olisi sitten täysi pääsy puhelimen tiedostojärjestelmään sun muualle. Toistaiseksi kuitenkin vaaditaan tyhmä käyttäjä, joka asentaa SIS-paketin epäluotettavasta lähteestä tarkistamatta sitä (tätähän ei ikinä onnistuttu kiertämään S60v2/v1:lläkään).
Kokonaisuutena uutinen on mielestäni kuitenkin positiivinen, mielestäni jokaisen tulisi saada tehdä omalla puhelimellaan mitä lystää (tietenkin lakien ja määräysten sallimissa puitteissa), vaikkapa sitten selailla tiedostojärjestelmän lukittuja hakemistoja jos ei muuta. Tähän astihan isoimpia capoja ei ole saanut edes omalle IMEI:lleen rajoitettuun kehittäjäsertifikaattiin vaikka kuinka haluaisi, ellei sitten satu olemaan jossain Isossa Firmassa töissä.
Käytännön hyötyäkin tuosta on, että tiedostoselaimelle kuten X-Plore saa täydet oikeudet. Mietitäänpä vaikka tilannetta, jossa joku softa ei suostu uninstalloitumaan kiltisti, ennen pahimmillaan joutui palauttamaan luurin tehdasasetuksille jos halusi softasta eroon.
Toivon kuitenkin, että alamme pian näkemään jotain ihan oikeitakin sovelluksia jotka hyödyntävät noita aiemmin raskaasti rajoitettuja capabilityjä (MultimediaDD vaikkapa).
Ja joo, myönnän että tämä helpottaa myös warettamista: aiemminhan sellaisesta softasta oli tavan pulliaisen mahdoton asentaa kräkättyä versiota joka vaati allekirjoituksen sellaisille capoille, joita ei ilmaisella DevCertillä saa. Mutta kuten sanottua, kokonaisuutena mielestäni erittäin positiivinen juttu.
Lähetä kommentti
<< Etusivulle