S60-puhelimet avoinna vakavalle hyökkäykselle
2
Nokia E90 Communicator on yksi haavoittuvista puhelimista. Ongelmaan ei ole vielä saatavana firmware-päivitystä.
Suosituimmassa älypuhelinten Symbian-käyttöjärjestelmän S60- ja UIQ-puhelimissa on tietoturva-aukko, jota hyväksi käyttäen päätelaitteen multimedia- ja tekstiviestitoiminnot saadaan rampautettua pois käytöstä. Haavoittuvuuden hyväksikäyttö perustuu tietyn muotoiseen viestiin, eikä se vaadi erityistä osaamista. Tietoturvauhka koskee laajaa joukkoa puhelimia, eikä laitevalmistajilta ole korjausta saatavana.
Kun puhelimeen on lähetetty haavoittuvuutta hyväksi käyttävä pitkä viesti, se ei enää pysty vastaanottamaan uusia multimedia- tai tekstiviestejä. Hyökkäysviestin tekeminen ei vaadi erityistä ohjelmistoa tai teknistä osaamista.
F-Securen mukaan puhelimeen kohdistuva hyökkäys muodostuu puhelinmallista riippuen yhdestä tai useammasta tietyllä tavalla muotoillusta tekstiviestistä. Puhelimen sms-viestijärjestelmä lamautuu, mutta muut toiminnot eivät vahingoitu. Vanhemmissa puhelinmalleissa käyttäjä ei näe oireita hyökkäyksestä, mutta uudemmissa puhelimissa voi saada varoituksen muistin loppumisesta tai vilkkuvan viestikuvakkeen.
Ongelma useimmissa Symbian-puhelimissa
F-Secure ja Viestintäviraston Cert-fi-yksikkö varoittavat, että haavoittuvuus koskee useimpia nykyisiä Nokian Symbian-puhelimia, joiden alustat ovat S60 2nd Edition Feature Pack 2 (S60 2.6), S60 2nd Edition, Feature Pack 3 (S60 2.8), S60 3rd Edition Initial Release (S60 3.0) ja S60 3rd Edition, Feature Pack 1 (S60 3.1). Haavoittuvuus ei siis tämän hetken tietojen mukaan koske joitakin uusimpia S60 3.2 -malleja (Feature Pack 2), kuten Nokia N96. Nokian ja muiden valmistajien S60-puhelimet eri versioineen selviävät S60.com-sivuston taulukosta.
F-Securen selvitysten mukaan haavoittuvuus koskee lisäksi Symbian UIQ -puhelimia, joita on ainakin Motorolan ja Sony Ericssonin tuotevalikoimissa.
Älypuhelimet voidaan korjata palauttamalla päätelaitteeseen tehdasasetukset, eli niin sanotulla "rautatason resetillä".
F-Secure on lisäksi päivittänyt Mobile Security -ohjelmansa tunnistamaan ja korjaamaan viestitoiminnot takaisin käyttöön. Ohjelmasta voi ladata maksuttoman viikon kokeiluversion kännykkäselaimella osoitteesta www.f-secure.mobi.
Haavoittuvuus on saanut nimen "SMS Curse of Silence" eli "tekstiviestihiljaisuuden kirous", Sen julkisti maanantai-iltana Tobias Engel Chaos Communication Congress -tapahtumassa, johon osallistui tuhansia ihmisiä.
Vielä ei ole tiedossa, hyödynnetäänkö haavoittuvuutta. F-Secure arvioi, ettei hyökkäyksellä voida tavoitella taloudellista hyötyä, mutta kiusantekovälineenä se voi olla vaarallinen.
Haavoittuvuudesta on lisätietoa F-Securen weblogissa ja Tobias Engelin raportissa.
