Kuinka monta Android-laitetta NoVoice saastutti?

NoVoice saastutti yli 2,3 miljoonaa Android-laitetta sen jälkeen, kun sitä jaettiin Google Playn, virallisen Android-sovelluskaupan, kautta.

Mitä NoVoice-haittaohjelma kohdistaa erityisesti saastuneella laitteella?

NoVoice kohdistuu ensisijaisesti WhatsAppiin, käyttäen hyväkseen viestikirjastoja, sovelluksen kautta jaettuja mediatiedostoja ja mahdollisesti kaappaamalla tilin kirjautumistiedot.

Miten NoVoice saavutti näin korkean hallintatason saastuneissa laitteissa?

NoVoice hyödyntää paikkaamattomia haavoittuvuuksia vanhemmissa Android-versioissa korottaakseen käyttöoikeuksia ja saadakseen pääkäyttäjäoikeudet, jotka antavat sille saman hallintatason laitteeseen kuin käyttöjärjestelmällä itsellään on.

Käyttääkö NoVoice aiemmin tuntemattomia tietoturva-aukkoja hyökkäyksensä toteuttamiseen?

Ei, NoVoice nojautuu vanhoihin, julkisesti tunnettuihin haavoittuvuuksiin, jotka Google on jo paikannut, eikä nollapäivähyökkäyksiin.

Miksi niin monet käyttäjät olivat edelleen haavoittuvaisia tunnettuihin, paikattuihin haavoittuvuuksiin perustuvalle hyökkäykselle?

Monet käyttäjät ovat edelleen haavoittuvaisia, koska laitevalmistajat ovat hitaita toimittamaan päivityksiä, vanhemmat puhelimet eivät enää saa päivityksiä lainkaan, ja monet käyttäjät eivät asenna päivityksiä ajoissa.

NoVoice-haittaohjelma saastutti 2,3 miljoonaa Android-laitetta Google Playn kautta

Uusi Android-haittaohjelma nimeltä NoVoice on saastuttanut yli 2,3 miljoonaa laitetta päästyään läpi Google Playn, Androidin virallisen sovelluskaupan. Haittaohjelma hyödyntää tunnettuja haavoittuvuuksia Androidin vanhemmissa versioissa saadakseen pääkäyttäjäoikeudet, minkä jälkeen se kohdistuu erityisesti WhatsAppiin käyttäjätietojen keräämiseksi. Tartunnan laajuus herättää vakavia kysymyksiä siitä, miten käyttäjät voivat suojata itsensä, kun edes tarkastetut sovelluskaupat eivät ole luotettavan turvallisia.

Miten NoVoice päätyy laitteellesi

NoVoice pääsi Google Playhin, mikä tarkoittaa, että miljoonat käyttäjät asensivat sen uskoen lataavansa laillisen sovelluksen. Asennuksen jälkeen haittaohjelma hyödyntää paikkaamattomia haavoittuvuuksia vanhemmissa Android-versioissa korottaakseen käyttöoikeuksiaan ja saadakseen pääkäyttäjäoikeudet. Pääkäyttäjäoikeudet ovat merkittävät, koska ne antavat hyökkääjälle saman hallintatason laitteeseen kuin käyttöjärjestelmällä itsellään on. Tästä asemasta käsin haittaohjelma voi lukea tiedostoja, siepata viestintää ja ohittaa tietoturvakontrollit, jotka muutoin estäisivät luvattoman pääsyn.

Ensisijaiseksi kohteeksi näyttää valikoituneen WhatsApp. Pääkäyttäjäoikeuksien avulla NoVoice voi lukea laitteelle tallennettuja WhatsApp-viestikirjastoja, käyttää sovelluksen kautta jaettuja mediatiedostoja ja mahdollisesti kaapata tilin kirjautumistiedot. Niille miljoonille ihmisille, jotka käyttävät WhatsAppia henkilökohtaisiin keskusteluihin, taloudellisiin asioihin tai arkaluonteiseen viestintään, tämä on välitön uhka heidän yksityisyydelleen.

Miksi vanhat Android-haavoittuvuudet ovat edelleen merkityksellisiä

Yksi tämän kampanjan huolestuttavimmista piirteistä on se, että NoVoice nojautuu vanhoihin haavoittuvuuksiin, ei nollapäivähyökkäyksiin. Kyse on tietoturva-aukoista, jotka ovat olleet julkisesti tunnettuja ja Googlen paikkaamia – toisinaan jo vuosia. Haittaohjelma toimii, koska merkittävä osa Android-käyttäjistä käyttää edelleen vanhentunutta ohjelmistoa.

Tähän on useita syitä. Jotkin laitevalmistajat ovat hitaita toimittamaan tietoturvapäivityksiä. Vanhemmat puhelimet eivät välttämättä enää saa päivityksiä lainkaan. Lisäksi monet käyttäjät eivät yksinkertaisesti asenna päivityksiä ajoissa – joko tottumuksesta tai siksi, että päivitykset eivät näy selkeästi heidän laitteillaan. Tuloksena on pysyvä hyökkäyspinta, jota haittaohjelmien tekijät hyödyntävät menestyksekkäästi, vaikka taustalla olevat haavoittuvuudet ovat hyvin tunnettuja.

Se, että NoVoice saavutti 2,3 miljoonaa latausta ennen kuin se havaittiin, korostaa myös automaattisen sovelluskaupan tarkistuksen rajoituksia. Google Play Protect, Googlen sisäänrakennettu haittaohjelmien tarkistusjärjestelmä, ei havainnut sitä ajoissa estääkseen laajan tartunnan leviämisen.

Mitä tämä tarkoittaa sinulle

Jos käytät Android-laitetta – erityisesti sellaista, jota ei ole päivitetty hiljattain – tämä tapaus on hyvä syy tarkistaa tietoturva-asetuksesi. Tässä on mitä NoVoice-tilanne osoittaa:

Sovelluskaupat eivät ole idioottivarma ratkaisu. Viralliset jakelukananat vähentävät riskiä, mutta eivät poista sitä. Haittaohjelmat päätyvät käyttäjille myös laillisten kauppapaikkojen kautta.
Pääkäyttäjätason pääsy muuttaa kaiken. Kun haittaohjelmalla on pääkäyttäjäoikeudet laitteellesi, monet tavalliset suojaukset menettävät tehonsa. Uhka ei ole enää pelkästään sovellus, joka ylittää käyttöoikeutensa – se on ohjelmisto, jolla on lähes täysi hallinta.
Viestisovellukset ovat arvokaita kohteita. WhatsApp tallentaa paikallisesti huomattavan määrän arkaluonteisia henkilötietoja, mikä tekee siitä houkuttelevan kohteen kaikille haittaohjelmille, jotka voivat päästä käsiksi tiedostojärjestelmään.
Paikkaamattomat laitteet kantavat kertautuvaa riskiä. Jokainen paikkaamaton haavoittuvuus on avoin ovi, jonka läpi hyökkääjät voivat kulkea toistuvasti – kuten NoVoice osoittaa.

Käyttäjien, jotka ovat hiljattain asentaneet tuntemattomia sovelluksia tai jotka eivät ole päivittäneet Android-ohjelmistoaan pitkään aikaan, tulisi ajaa tietoturvaskannaus ja tarkistaa asennetut sovelluksensa. Jos käytät WhatsAppia arkaluonteiseen viestintään, ole tietoinen siitä, että paikallisesti vaarantuneelle laitteelle tallennettuihin tietoihin on saatettu päästä käsiksi.

Käytännön toimenpiteet altistumisen vähentämiseksi

NoVoice-haittaohjelmakampanja muistuttaa, että mobiiliturvallisuus vaatii jatkuvaa huomiota eikä ole kertaluonteinen toimenpide. Muutama käytännön askel voi merkittävästi vähentää altistumistasi:

Pidä Android-ohjelmistosi ajan tasalla. Tietoturvakorjaukset käsittelevät juuri sellaisia haavoittuvuuksia, joita NoVoice hyödyntää. Ota automaattiset päivitykset käyttöön, jos laitteesi tukee niitä, ja tarkista säännöllisesti päivitykset, joita laitteesi ei välttämättä ole asentanut automaattisesti.

Tarkista sovelluksen käyttöoikeudet säännöllisesti. Siirry laitteesi asetuksiin ja tarkasta, millä sovelluksilla on pääsy arkaluonteisiin käyttöoikeuksiin, kuten tallennustilaan, yhteystietoihin ja mikrofoniin. Poista käyttöoikeudet sovelluksilta, jotka eivät niitä tarvitse.

Ole valikoiva sen suhteen, mitä asennat. Jopa Google Playssa kannattaa tarkastella latausmääriä, arvosteluja, kehittäjän mainetta ja kuinka kauan sovellus on ollut saatavilla ennen sen asentamista. Äskettäin julkaistut sovellukset, joilla on rajallinen historia, kantavat suurempaa riskiä.

Käytä salattua viestintää mahdollisuuksien mukaan. Vaikka salaus ei suojaa tietoja, jotka on jo tallennettu vaarantuneelle laitteelle, päästä päähän -salatut viestisovellukset rajoittavat sitä, mitä voidaan siepata siirron aikana.

Harkitse mobiilitietoturvaohjelman käyttöä. Useat tunnetut tietoturvatoimittajat tarjoavat Android-sovelluksia, jotka skannaavat haittaohjelmia ja ilmoittavat epäilyttävästä toiminnasta, tarjoten ylimääräisen havaintokerroksen käyttöjärjestelmään sisäänrakennetun lisäksi.

NoVoiceen liittyvät 2,3 miljoonaa tartuntaa ovat konkreettinen esimerkki siitä, mitä tapahtuu, kun mobiiliturvallisuutta kohdellaan valinnaisena asiana. Android-käyttäjät, jotka käyttävät vanhentunutta ohjelmistoa tai asentavat sovelluksia ilman suurempaa harkintaa, ovat edelleen haavoittuvaisia juuri tämänkaltaisille kampanjoille. Ohjelmiston pitäminen ajan tasalla ja sovellusasennuksiin suhtautuminen tietyllä skeptisyydellä ovat kaksi tehokkainta puolustuskeinoa tavallisille käyttäjille.