Vain Oreo-käyttäjät varmasti turvassa ikävältä Android-haavoittuvuudelta

Vasta harvat puhelimet ovat saaneet virallisen päivityksen Googlen tuoreimpaan Android 8.0 Oreo-versioon. Sellaisen omistajat ovat kuitenkin onnellisesti turvassa kaikkia muita versioita vaivaavasta uudesta tietoturva-aukosta. 

Haavoittuvuus perustuu kovin yksinkertaiseen temppuun. Ruudulle piirretään dialogi, jossa käyttäjää pyydetään kuittaamaan jotakin sormenpainalluksella. Todellisuudessa päällimmäisen grafiikan alla onkin jotain täysin muuta, jolle käyttäjä näin antaa tietämättään hyväksyntänsä. Periaatteessa tämän ei pitäisi olla Android-maailmassa mahdollista, esimerkiksi ”draw on top”-oikeudet pitää käydä erikseen antamassa ohjelmille. Niitä voivat myös saada virallisesti vain Google Play -kaupasta asennetut sovellukset.

Todellisuus on kuitenkin toinen. The Registerin mukaan temppu onnistuu käyttämällä väärin Androidin Toast-toimintoa. Alunperin se on tarkoitettu ilmoitusten lähettämiseen käyttäjille. Palo Alto Networksin tutkijat kuitenkin onnistuivat löytämään tavan, jolla ominaisuutta voi käyttää hyväksi haittaohjelmien tapaan.

Yhtään vahvistettua aukkoa käyttävää haittaohjelmaa ei ole vielä tavattu. Google on myös julkaissut aihetta koskevan turvallisuuspäivityksen syyskuun alussa. Oreota vanhemmat Android-versiot kehotetaan päivittämään heti kun mahdollista.