Samsung Galaxy S-sarjan älypuhelinten Swiftkey-sovelluksesta on löydetty haavoittuvuus, jonka avulla hyökkääjän on mahdollista suorittaa haitallista ohjelmakoodia järjestelmätason oikeuksilla.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Matkaviestinjärjestelmät

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö
• Ilman käyttäjän toimia

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Tietojen muokkaaminen
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Samsung Galaxy S6
• Samsung Galaxy S5
• Samsung Galaxy S4
• Samsung Galaxy S4 Mini

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä älypuhelimen ohjelmisto valmistajan ohjeiden mukaisesti tuoreimpaan saatavilla olevaan versioon.

Lisätietoa:

•  
• https://www.nowsecure.com/keyboard-vulnerability/
• https://www.nowsecure.com/blog/2015/06/16/remote-code-execution-as-system-user-on-samsung-phones/
• http://www.kb.cert.org/vuls/id/155412
• CVE-2015-2865

Tietoverkkorikoksiin, kuten tietomurtoon, luvattomaan käyttöön, vahingontekoon tai viestintäsalaisuuden loukkaamiseen, ei yleensä voi syyllistyä tahattomasti tai tietämättään.

Tietoverkkorikoksiin harvoin syyllistytään vahingossa. Yleensä henkilön täytyy toimia tahallisesti, jotta teosta voidaan rangaista. Sen vuoksi tietoverkkorikoksiin, kuten tietomurtoon, luvattomaan käyttöön, vahingontekoon tai viestintäsalaisuuden loukkaamiseen, ei yleensä voi syyllistyä ellei teko ole tahallinen.

Yhteiskäytössä olevien päätelaitteiden kanssa kannattaa olla varovainen, sijaitsivat ne sitten kotona, koulussa, kirjastossa tai muussa yhteisessä tilassa. Oikeuskäytännössä viestintäsalaisuuden loukkaukseksi on katsottu, jos joku toinen henkilö on lukenut yhteiskäytössä olleeseen päätelaitteeseen auki jääneestä sovelluksesta kolmannelle henkilölle kuuluvaa viestintää.

Vastaavasti esimerkiksi puolison sähköisten tilien luvaton käyttö on rikos, vaikka tili olisi selainikkunassa valmiiksi sisäänkirjautuneena. Puolison suostumuksella sähköpostiviestien lukeminen on lainsäädännön mukaan toki mahdollista.

Sen vuoksi palveluista kannattaa aina kirjautua ulos, kun yhteiskäyttöistä laitetta ei enää käytä. Yhteiskäyttöisiin päätelaitteisiin ei myöskään kannata tallentaa automaattisilla toiminnoilla tunnuksia ja salasanoja.

Vahinkoja sattuu, mutta erehdykseen ei voi aina vedota

Erehdyksiä toki tapahtuu ja aina ei ole selvää, mitä voi tehdä ja mitä ei. Yleissääntö on, että erehdys poistaa tahallisuuden. Henkilöillä on kuitenkin selonottovelvollisuus, eikä erehdykseen voida aina vedota.

Henkilö voi esimerkiksi tietämättään levittää internetissä haittaohjelmia, jotka on voitu suunnitella rikolliseen toimintaan. Tästäkin syystä käyttäjän olisi huolehdittava päätelaitteensa tietoturvasta. Tällöin henkilön ei kuitenkaan voida nähdä syyllistyvän rikokseen, vaan hänen päätelaitettaan hyödynnetään mahdollisesti rikollisessa toiminnassa.

Toisaalta on mahdollista, että henkilö näkee vahingossa jollekin muulle tarkoitettua luottamuksellista viestintää yhteiskäytössä olevan tietokoneen kautta. Erona aiemmin kuvattuun tapaukseen on, että tässä viesti yhteiskäytössä olevalta tietokoneelta oli nähty vahingossa. Tuomioistuin lopulta kuitenkin arvioi, onko kyseessä rikos vai ei.

Merkitystä voi myös olla henkilön tietoteknisellä osaamisella. Voi olla, että tietojärjestelmän käyttäjällä ei vastoin luuloaan olekaan oikeutta käyttää jotain järjestelmää. Lisäksi henkilö saattaa erehdyksessä viedä virustarkastamattoman muistitikun työpaikalleen ja saastuttaa siten työpaikan tietojärjestelmän. Henkilö saattaa myös vahingossa muuttaa jotain tietoa, joka olisi ollut merkityksellistä tietojärjestelmän toiminnassa tai todistuskappaleena.

Olennaista on, että tietoturvajärjestelyt on hyvin toteutettu ja mahdollisten inhimillisten erehdysten torjuntaan kiinnitetään huomiota.

Päivityshistoria

09.06.2015 klo 12:37

Kyberturvallisuuskeskus on saanut useita ilmoituksia Nordean nimissä tehtävästä tietojenkalastelusta.

Nordean nimissä lähetetyissä sähköposteissa pyydetään asentamaan tietoturvapäivitys verkkopankkiin. Tietojenkalasteluviestin sisältämä linkki ohjaa käyttäjän kuitenkin väärennetylle sivulle, jossa pyritään varastamaan käyttäjän pankkitunnukset.

Jos syöttää vahingossa tietonsa tietojenkalastelusivulle, tulee viipymättä olla yhteydessä omaan pankkiinsa.

Alla esimerkkejä tietojenkalasteluviesteistä

Lähettäjä: 
Aihe: NORDEA FINLAND 2015
Vastaanottaja: 
HYVÄ ASIAKAS,
HALUAMME ILMOITTAA SINULLE, ETTÄ NORDEA PANKKI TEKEE IETOTURVAPÄIVITYSTÄ 
VERKKOPANKKIOSASTOLLA, MINKÄ VUOKSI VERKKOPANKKITUNNUKSESI MENEVÄT UMPEEN PIAN.
ALLA OLEVAN LINKIN KAUTTA VOIT MANUAALISESTI PÄIVITTÄÄ VERKKOPANKKISI 
TIETOTURVAPÄIVITYKSEN.
SINUN EI TARVITSE VAIHTAA SALASANAASI. PÄVITTÄÄKSESI VERKKOPANKKISI 
TIETOTURVAN,
PAINA TÄSTÄ
PIAN TÄMÄN JÄLKEEN TYÖNTEKIJÄMME OLINE-ASIAKAS-PALVELUSTA SOITTAA 
SINULLE KOSKIEN VERKKOPANKKISI TILAA.
TÄMÄN TIETOTURVAPÄIVITYKSEN JÄLKEEN SINULLA ON HELPPO JA NOPEA PÄÄSY 
VERKKOPANKKIISI.
MUITA NORDEA- VERKKOPANKIN HYÖTYJÄ:
 -   VAPAA PÄÄSY TILILLESI KELLON YMPÄRI
 -   NOPEA PÄÄSY KÄTTÖTILILLESI
 -   VERKKOPANKKI KOTIKONEELLASI
 -   JOUSTAVA JOKA PUOLELLA MAAILMAA
 -   SELKEÄ KIRJANPITO
 -   KORKEAT TURVA STANDARDIT
 -  VERKKOPANKKI YHDISTETTYNÄ PUHELIMEEN
KÄYTTÄÄKSESI KAIKKIA NÄITÄ PALVELUITA ILMAN ONGELMIA TULEVAISUUDESSAKIN,
SUORITTAKAA PÄIVITYS MAHDOLLISIMMAN PIAN.
YSTÄVÄLLISESTI,
NORDEA PANKIN ASIAKASPALVELU.

From:
Subject: NORDEA
HYVÄ ASIAKAS
Uuden ohjelmiston asentaminen internetpankkiisi.
Tämän palvelun avulla NORDEA-internetpankkisi on vapaa viruksista,
saat lisäturvan internetpetoksia vastaan ja nopean pääsyn e-pankkiisi
suoraan puhelimellasi. Aloittaaksesi ohjelmistopäivityksen,
pyydämme sinua klikkaamaan alla olevaa linkkiä ja täyttämään tarvittavat 
tiedot.

PAINA TÄSTÄ

Kun olet täyttänyt tarvittavat tiedot, internetpankkiisi päivittyy 
automaattisesti
uusi ohjelmisto.Kun ohjelmisto on päivittynyt, työntekijämme NORDEA 
internetpankkiosastoltamme soittaa sinulle päivityksen 
viimeistelemiseksi. Muista, että NORDEA välittää turvallisuudestasi ja 
suojaa sinua internetpetoksilta.
Kiitos ajastasi ja yhteistyöstäsi.
Ystävällisin terveisin,
Asiakaspalvelu 2015
NORDEA.

Tarkkaavaisuus auttaa tietojenkalastelulta suojautumisessa

Verkkopankkien ja muiden palveluntarjoajien yhteydenotoilta vaikuttavissa viesteissä ei kannata klikata viestissä olevaa linkkiä, vaan on suositeltavampaa kirjanmerkitä palveluntarjoajan sivu ja käyttää tätä sivustolle siirtymiseen, mikäli tämä on mahdollista. Jos linkin on kuitenkin jo avannut, on syytä tarkistaa selaimen osoitekentän vierestä olevasta lukkokuvakkeesta, että SSL-suojaus on käytössä ja sivuston varmenne viittaa oikeaan palveluntarjoajaan. Huijaussivustot voivat erehdyttävästi muistuttaa aitoa sivua.

Myös odottamattomat viestit palveluntarjoajalta pitää tarkistaa huolellisesti ennen niissä kehotettuihin toimenpiteisiin ryhtymistä. Verkkopankit eivät myöskään kysy käyttäjätunnuksia tai pyydä asentamaan tietoturvapäivityksiä sähköpostitse.

Havaituista tietojenkalastelusivustoista voi ilmoittaa Viestintäviraston Kyberturvallisuuskeskukselle sähköpostitse osoitteeseen cert@ficora.fi.

Päivityshistoria 

08.06.2015 klo 14:04

Muutettu 10.6.2015