CERT-FI haavoittuvuustiedote 156/2008

31.12.2008

Tekstiviestihaavoittuvuus S60 -älypuhelimissa

Kohde:	- matkaviestimet	Lisätietoja
Hyökkäystapa:	- etäkäyttö	Lisätietoja
Hyväksikäyttö:	- palvelunestohyökkäys	Lisätietoja
Ratkaisu:	- ongelman rajoittaminen	Lisätietoja

S60-ohjelmistoalustaa käyttävistä älypuhelimista on paljastunut haavoittuvuus, jota hyväksikäyttämällä hyökkääjä voi estää kohdettaan vastaanottamasta teksti- ja multimediaviestejä. Palvelunestotila voidaan toteuttaa lähettämällä yksi tai useampi tietyllä tavalla muotoiltu tekstiviesti vastaanottajan puhelimeen. Osa S60 -puhelimista ilmoittaa muistin loppumisesta vastaanotettuaan tarpeeksi monta kyseisellä tavalla muotoiltua viestiä, osa lopettaa viestien vastaanottamisen heti.

Symbian OS on useissa matkaviestimissä oleva käyttöjärjestelmä jonka ohjelmistoalusta S60:tä käyttävät useimmat matkapuhelinvalmistajat, kuten Siemens, Nokia ja Sony Ericsson.

HAAVOITTUVAT OHJELMISTOT:

• S60 2nd Edition, Feature Pack 2 (s60 2.6)
• S60 2nd Edition, Feature Pack 3 (S60 2.8)
• S60 3rd Edition, Initial Release (S60 3.0)
• S60 3rd Edition, Feature Pack 1 (S60 3.1)

Uudemmat S60-sarjan käyttöjärjestelmät kuin 3.1 eivät ole haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Matkapuhelimet toipuvat tilasta ns. factory resetillä eli komennolla jolla puhelin palautetaan tehdasasetuksille. Tällöin käyttäjän tekemät asetukset nollautuvat. Nokia on myös julkaissut puhelimessa suoritettavan SMS Cleaner -työkalun jonka avulla haitalliset viestit voidaan poistaa tietyistä puhelinmalleista.

Viestejä vastaan voi suojautua myös asentamalla S60-puhelimeen sopiva virustorjuntaohjelmisto, joka tunnistaa haitalliset tekstiviestit.

LISÄTIETOA:

• F-Securen blogiartikkeli aiheesta 30.12.2008
• Nokian SMS Cleaner -työkalu

PÄIVITYSHISTORIA:

31.12.2008, kello 13.12: Julkaistu
29.1.2009, kello 15.30: Lisätty linkki Nokian SMS Cleaner -työkaluun

Sivua päivitetty 29.01.2009

Tulostusversio