[ Siirry blogin etusivulle ]

torstai, tammikuu 01, 2009

S60 3rd Edition -haavoittuvuus otsikoissa

Symbian v9:n ja S60 3rd Editionin piti olla lähes murtamattomia, mutta vuoden 2008 viimeisenä päivänä otsikoihin nousi laajasti Suomessakin Symbian-puhelinten haavoittuvuus SMS- ja MMS-viestien käsittelyssä. Aiheesta uutisoitiin Suomessa ja maailmalla.

Voin arvata, että osa lukijoista vastaa heti tietoturvayhtiöiden pelottelevan myydäkseen softiaan. Tässä tapauksessa myös Suomen viestintämarkkinoita valvova viranomainen katsoi asian riittävän vakavaksi, jotta netissä ja sähköpostilistalle julkaistiin CERT-FI-haavoittuvuustiedote asiasta.

Kyse on siis siitä, että suurimman osan Symbian-käyttöjärjestelmän S60 2nd Edition- ja 3rd Edition -ja UIQ-puhelimia MMS- ja SMS-viestitoiminnot ovat lamaannutettavissa.

Haavoittuvuudelle ei onneksi tämän hetken tietojen mukaan ole kaupallista hyödynnettävyyttä (eli rahallista hyötyä), mutta kiusanteon mielessä voi aiheuttaa isoa vahinkoa. F-Secure on esitellyt tapausta tietoturvalabransa blogissa kattavasti. Teknistä lisätietoa on myös raportissa, jonka haavoittuvuuden löytänyt Tobias Engel julkaisi CCC-tapahtumassa.

Vielä ei ole tiedossa, että tietoturva-aukkoa käytettäisiin hyväksi. Jos niin käy, ongelman saa korjattua päätelaitteen rautatason resetoinnilla tai asentamalla F-Secure Mobile Security -ohjelman.

Tunnisteet: , ,

torstai, kesäkuu 05, 2008

S60 korkattiin kunnolla, väittävät hakkerit

Symbian v9:n tietoturvaan on luotettu lähes sokeasti, mutta tänään ainakin F-Secure tiedotti, että S60 3rd Edition -puhelimissa on tietoturva-aukko. Haavoittuvuus on Symbianin tasolla, ja se saattaa siten olla myös UIQ-laitteissa.

Menin heti tänään katsomaan, miten S60-tietoturvablogi kommentoi asiaa. Ei mitenkään. Ei se tosin näytä aikoihin päivittyneen muutenkaan.

Symbianin suojausten ohittamisesta on levinnyt juttuja ainakin viime perjantaista alkaen, esimerkiksi Symbian-Freak.com:n artikkelissa ja foorumeilla. F-Secure lähetti asiasta tänään lehdistötiedotteen ja linkkasi siinä weblogiinsa.

Soitin F-Securelle ja sain lisätietoja uutiseen. Soitin myös Nokialle, mutta paljon ei osattu vielä kertoa. Vanha vinkki sikäli pätee, että jos ei asenna softaa epäluotettavista lähteistä, tämänkin voi välttää.

Kiinnostavaksi tapauksen tekee se, että joku saattaa haluta asentaa tämän ohjelmanpätkän. Jos käytössä on operaattorilta kytkykaupalla hankittu SIM-lukittu puhelin, sellaiset suojaukset voidaan nyt ohittaa.

F-Securen mukaan oikeuksien tarkistusten ohittaminen tekee mahdolliseksi Cabirin, Commwariorin ja muiden vastaavien kaltaiset haittaohjelmat ensimmäistä kertaa S60 3rd Editionille. Epäselvää vielä on, voidaanko ongelma korjata S60-laitteiden firmware-päivityksillä.

Tunnisteet: , ,