F-Securen tutkimukset osoittavat, että maailman suurimpien matkapuhelinmyyjien Android-laitteet kärsivät maakohtaisista tietoturvaongelmista. Merkittävää on se, että maailmanlaajuisesti myytävien laitteiden turvallisuus tarjoaa erilaisia tietoturvatasoja kuluttajille maasta riippuen.
Samat tietoturvahaasteet eivät kosketa puhelinkäyttäjiä kaikkialla, joten tilanne muodostaa hajanaisen tietoturvaongelmien kentän. Tutkijoiden tutkimiin laitteisiin kuuluivat Huawei Mate 9 Pro, Samsung Galaxy S9 ja Xiaomi Mi 9. Konfigurointiongelmat ja haavoittuvuuksien hyödyntämismahdollisuudet vaihtelevat laitteesta toiseen. Joidenkin puhelinkäyttäjien tietoturvastandardit ovat lähtökohtaisesti alemmalla tasolla riippuen siitä, miten laitevalmistaja konfiguroi laitteet.
F-Secure Consultingin johtaja James Loureiron mukaan näiden tietoturvaongelmien esiintyminen suosituissa laitteissa paljastaa merkittäviä turvallisuushaasteita, jotka johtuvat räätälöityjen Android-sovellusten levityksestä.
- Yleisesti oletetaan, että saman merkin laitteet ovat samanlaisia ympäri maailmaa. Näin ei kuitenkaan ole, sillä kolmannen osapuolen (kuten Samsung, Huawei, Xiaomi) tekemät räätälöinnit voivat alentaa laitteiden tietoturvaa merkittävästi riippuen siitä, millä alueella laite on tai missä laitteen SIM-kortti on aktivoitu. Olemme nähneet puhelimia, joissa on yli 100 toimittajan lisäämää sovellusta. Nämä avaavat merkittävän hyökkäyspinnan, joka muuttuu alueittain, Loureiro kertoo.
Esimerkiksi Samsung Galaxy S9 tunnistaa alueen, jossa SIM-kortti toimii, mikä vaikuttaa laitteen toimintaan ja esiasennettuihin sovelluksiin. F-Securen tietoturvakonsultit havaitsivat, että he voisivat hyödyntää esiasennettua sovellusta saadakseen laitteen hallintaansa, kun Samsung-laitteen koodi havaitsi kiinalaisen SIM-kortin.
F-Securen tietoturvakonsultit löysivät haavoittuvuudet useiden vuosien aikana suorittaessaan tutkimusta Pwn2Own -hakkerointikilpailua varten, jossa hakkeritiimit yrittävät murtaa erilaisia laitteita hyödyntämällä aiemmin paljastamattomia haavoittuvuuksia eli ns. nollapäivähaavoittuvuuksia.
Tarkemmin tutkimuksesta voi lukea F-Secure Blogista.