Nokia tutkii S60-puhelinten tekstiviestireikää
2
Haavoittunut puhelin saattaa lopettaa hyökkäysviestin saatuaan heti mms- ja sms-viestien vastaanottamisen tai varoittaa ensimmäisen viestin jälkeen muistin loppumisesta. Vaikutus vaihtelee puhelinmallin mukaan. Kuvassa Nokia N95, joka varoittaa ensin muistin vähyydestä. (Kuva: F-Secure)
Symbian-käyttöjärjestelmän viestitoiminnoissa tietoturva-asiantuntijoiden löytämä haavoittuvuus on Nokiassa selvityksessä. Merkkejä haavoittuvuutta vastaan hyökkäämisestä ei ole, ja Nokia selvittääkin Symbianin kanssa, tarvitaanko puhelimiin päivitystä.
Nokian Corporate Development Office -yksikön viestintäjohtaja Mark Durrant kertoo Tietokoneelle, että alustavissa selvityksissä ei ole paljastunut syytä suureen huoleen. Durrantin mukaan ei ole merkkejä siitä, että väitettyä haavoittuvuutta vastaan hyökättäisiin aktiivisesti. Sille ei myöskään ole tiedossa kaupallista hyötymistapaa.
Symbian-käyttöjärjestelmän S60- ja UIQ-alustojen viestihaavoittuvuuden paljasti Tobias Engel Chaos Communication Congress -tapahtumassa. Engelin mukaan haavoittuvuus mahdollistaa Symbian-puhelinten mms- ja sms-viestitoimintojen lamaannuttamisen tietyllä tavalla muotoillulla pitkällä tekstiviestillä.
Hyökkäyksistä ei vielä havaintoja
Mark Durrant korostaa, että Nokia ottaa tietoturvauhkat vakavasti, ja siksi asia selvitetään. "Tiedossamme ei kuitenkaan ole tähän liittyviä hyökkäyksiä. Jatkamme asian tutkimista", sanoi Durrant Tietokoneelle perjantaina.
Virustutkija Jarno Niemelä F-Securesta arvioi Tietokoneelle viikonloppuna, ettei haavoittuvuutta näytetä toistaiseksi hyödynnettävän netissä.
F-Secure arvioi myös, että sms-haavoittuvuudelle ei vaikuta olevan kaupallista hyödyntämisen mahdollisuutta, vaan hyökkäysviesti olisi lähinnä kiusantekoa vastaanottajalle. Netissä on kuitenkin julkaistu video, jossa annetaan ohjeet haavoittuvuuden hyödyntämiseen. F-Secure seuraa asiaa viruslabran blogissaan.
Nokia painottaa, ettei väitettyä haavoittuvuutta ole kahdessa uusimmassa S60-alustan versiossa, S60 3rd Edition Feature Pack 2 sekä S60 5th Edition. Näin ollen uusimmat puhelimet Nokia N96 ja 5800 Xpressmusic eivät ole haavoittuvia. Valtaosa markkinoilla olevista S60-puhelimista on kuitenkin haavoittuneita.
Nokia selvittää asiaa Symbianin kanssa
Virhe ei tämän hetken tietojen mukaan ole Nokian S60-alustassa, vaan alemmalla tasolla Symbian-käyttöjärjestelmässä. Siksi se koskee myös Motorolan ja Sony Ericssonin UIQ-puhelimia.
Vielä ei ole tiedossa, tuleeko haavoittuvuuteen päivitystä vanhoihin puhelimiin. "On liian varhaista spekuloida, tarvitaanko Nokian tuotteisiin päivityksiä. Selvitämme asiaa Symbianin kanssa. Tutkimukset ovat varhaisessa vaiheessa. Katsomme, miten tämä vaikuttaa eri malleihin", sanoo Mark Durrant.
"Jotkut tietoturvayhtiöt kuitenkin näyttävät hyödyntävän tilaisuuden ja tekevät asiasta ison jutun", hän sivaltaa.
Sen sijaan, että lähes toiselle sadalle miljoonalle kasvaneen älypuhelinten massan firmware-ohjelmisto yritettäisiin päivittää jälkikäteen, voi helpompaa olla estää viestien eteneminen kännykkäverkoissa.
Operaattorit voivat lisätä Curse of Silence (hiljaisuuden kirous) -nimellä kutsutulle hyökkäysviestille suodatuksen multimedia- ja tekstiviestikeskuksiinsa. Monet operaattorit suodattavat tällä tapaa jo mobiiliviruksia.
Mark Durrant vakuuttaa, että Nokia ottaa tietoturvauhkat vakavasti ja tutkii tapauksen.
