Kesäkuun Pixel-ominaisuuspäivityksen jälkeen Google julkaisi tärkeän tietoturvakorjauksen, joka oli toinen erä, joka korjasi Pixel-laitteiden suuren laiteohjelmiston haavoittuvuuden. Nyt Yhdysvaltain hallitukselta tuleva uusi ilmoitus näyttää korostavan tietoturvavirheen vakavuutta, jonka uskotaan vaikuttavan muihin kuin Pixel Android -laitteisiin.
- Älä missaa: NSA jakaa parhaita turvallisuusvinkkejä Android- ja iPhone-käyttäjille
Forbesin raportin mukaan Yhdysvaltain hallitus on CISA:n (Cybersecurity and Infrastructure Security Agency) kautta varoittanut kaikkia Pixel-puhelimia käyttäviä liittovaltion työntekijöitä päivittää laitteensa 4. heinäkuuta mennessä. Jos ei, heitä kehotetaan lopettamaan älypuhelimia käyttämällä.
Luettelossa suositeltiin myös, että yksityiset yritykset ja yksityishenkilöt päivittäisivät Pixel-laitteet uusimpaan saatavilla olevaan ohjelmistoon hyökkäyksien korjaamiseksi.
Haavoittuvuus, joka on merkitty nimellä CVE-2024-29748, oli osa GrapheneOS-ryhmän löytämiä tietoturvaongelmia. Google julkaisi ensimmäisen korjaustiedoston huhtikuussa, kun taas toinen kaksiosainen korjaustiedosto julkaistiin kesäkuussa nimellä CVE-2024-32896 Android 14 QPR3:n (Quarterly Platform Release) kautta.
CVE-2024-32896, joka on merkitty aktiivisesti luonnonvaraiseksi hyväksikäytetyksi kesäkuun 2024 pikselipäivitystiedotteessa, on CVE-2024-29748-haavoittuvuuden korjauksen toinen osa, jonka kuvailimme tässä:https://t.co/c4xnnbje04
Kuten selitimme siellä, mikään näistä ei itse asiassa ole pikselikohtaista.
— GrapheneOS (@GrapheneOS) 13. kesäkuuta 2024
Vaikka Google ei ole antanut perusteellisia tietoja näistä ongelmista, rikosteknisten yritysten ja hakkereiden tiedettiin jo käyttäneen niitä nollapäivän haavoittuvuuksina kohderyhmille tai henkilöille.
Ensinnäkin nollapäivän hyväksikäyttö on hyökkäyksissä käytettävä haavoittuvuus, jonka avulla toimijat pääsevät käsiksi laitteisiin ja arkaluontoisiin tietoihin ja jopa hallitsemaan niitä ennen kuin valmistaja on saanut tietoonsa tai havainnut hakkereiden käyttämän ongelman.
Vaikuttaako nollapäivän hyväksikäyttö kaikkiin Android-laitteisiin?
GrapheneOS:n mukaan vaarassa eivät ole vain Pixel-laitteet, vaan myös useimmat Android-laitteet. Ainoa ongelma on, että korjaus muihin kuin Pixel-malleihin tulee vain Android 15:n mukana, koska se on siirrettävä takaisin. Vielä pahempaa on, että puhelimet tai tabletit eivät välttämättä päivity Android 15:een, ja ne eivät ehkä saa korjausta tietoturvavirheeseen.
Siitä huolimatta voit aina suojata itsesi ja laitteen muilta tietoturvauhkilta noudattamalla joitain perussuojatoimia, kuten päivittämällä uusimpaan ohjelmistoon, välttämällä yhteyden muodostamista julkiseen Wi-Fi-verkkoon ja aktivoimalla ominaisuuksia, kuten varastetun laitteen suojauksen.
Samoin, mitä mieltä olet näistä Androidin haavoittuvuuksista? Pitäisikö Googlen ja muiden valmistajien pakottaa tuomaan konkreettisempi ratkaisu näihin? Keskustelemme vastauksistasi kommenteissa.
Lähde:
Forbes, GrapheneOS X:llä
