Samu Nevala

Tietoturvallisuus Symbian-pohjaisissa älypuhelimissa

Johdanto

Älypuhelinten hinnat ovat tulleet vauhdilla alas ja viime vuosina niiden käyttäjämäärä onkin moninkertaistunut niin, että älypuhelimet ovat nykyään täysin arkipäivää. Suurimmaksi osaksi matkapuhelinvalmistaja Nokian käyttämän älypuhelinten Symbian-käyttöjärjestelmän kehitys on loppumassa, mutta edelleen valtavan suuri osa käytössä olevista laitteista toimii Symbianin päällä. Ihmiset osaavat jo käyttää Symbian älypuhelinten monipuolisia ominaisuuksia kohtuullisesti hyödykseen, mutta niiden tietoturvallisuudesta ei useimmilla ole hajuakaan. Tämän harjoitustyön tarkoituksena on perehtyä nimenomaan Symbian-pohjaisten puhelinten tietoturvallisuuteen ja selventää lukijalle niiden haavoittuvuuksia, haavoittuvuuksiin kohdistettuja ja niiden avulla leviäviä haittaohjelmia sekä Symbianin tietoturvaa edistäviä ominaisuuksia.

Haavoittuvuudet

Käyttäjän oma toiminta

Räjähdysmäisesti yleistyneet langattomat tiedonsiirtomenetelmät mahdollistavat sen, että puhelimiin on entistä helpompi ja vaivattomampi yrittää murtautua. Langattomuuden tuoma liikkumisen vapaus on hieno asia, mutta se rajoittaa käyttäjän mahdollisuuksia vaikuttaa siihen miten helposti laitteen generoima tietoliikenne päätyy vääriin käsiin ja siihen ketkä siihen ylipäätään voivat yrittää saada yhteyttä. Suurin riski älypuhelimen turvallisuudelle on sidoksissa ihmisen omaan huolimattomuuteen, puhelimen hukkaaminen tai sen joutuminen varkauden kohteeksi aiheuttaa suurimman haavoittuvuuden riippumatta käyttöjärjestelmästä. Keskityn tässä kuitenkin itse Symbian-puhelimen ominaisuuksien tuomiin aukkoihin.

Symbianinkin haavoittuvuudet kulminoituvat kuitenkin nekin lähes aina takaisin käyttäjään, sillä käyttöjärjestelmään tarjolla olevat haittaohjelmat vaativat lähes poikkeuksetta käyttäjän suostumuksen asennukseen. Tämä on mielestäni erittäin hieno asia, sillä järkevä ja vain luotettuihin ohjelmiin turvautuva käyttäjä säästyy hyvällä todennäköisyydellä ongelmilta. Mikäli haittaohjelma on kuitenkin päässyt asentumaan, se pääsee leviämään muihin Symbianeihin monilla tavoin.
Bluetooth ja MMS

Haittaohjelmat leviävät Symbian-käyttöjärjestelmällä varustetusta puhelimesta toiseen yleisimmin bluetoothin välityksellä. Mikäli käyttäjä on unohtanut Symbianin bluetooth-yhteyden päälle tai pitää sitä periaatteesta koko ajan päällä, avautuu haittaohjelman levittäjälle helppo tie lähettää esimerkiksi virusohjelman asennustiedosto puhelimeen. Tämä on erityisen vaarallista paikoissa, joissa on kerääntyneenä yhteen paljon ihmisiä pienelle alueelle - bluetoothin kantomatka on kuitenkin rajallinen. Toinen yleinen leviämistapa on multimediaviesti, joita Symbianiin asennettu haittaohjelma pystyy lähettämään kaikkiin kontaktilistan puhelinnumeroihin. Multimediaviestin voidaan ajatella olevan parillakin tapaa bluetoothia haitallisempi, sillä se ei vaadi läheistä etäisyyttä ja aiheuttaa lisäksi kustannuksia lähettäjälle.

Nettiyhteys ja muistikortti

Symbian älypuhelimet tarjoavat tietysti mahdollisuuden myös nettisurffailuun niin WLAN-yhteydellä kuin nykyään hurjasti yleistyneellä mobiililla nettiyhteydellä. Yhtälailla näiden kautta käyttäjän järjestelmään voi päätyä haittaohjelma, mutta se on mielestäni epätodennäköisempää kuin kahdella edellä mainitulla vaihtoehdolla. Käyttäjän tarvitsisi ensiksi itse hakea asennustiedosto puhelimeensa sen sijaan, että se vain ilmestyisi sinne jonkun muun lähettämänä. Toki ohjelmat ovat usein netissä naamioitu joksikin hyödyllisiksi, mutta useimmat käyttäjät lataavat sovelluksensa luotetuista kauppapaikoista joissa on nimenomaan Symbianille suunnattuja ohjelmia. Toisena viimevuosina tulleena uutena leviämistapana on virustartunnan saaminen puhelimen muistikortin kautta, mutta tämä on harvinaista, sillä harva käyttäjä edes irrottaa muistikorttia älypuhelimestaan.

Turvallisuusominaisuudet

Symbian-käyttöjärjestelmän perusarkkitehtuuri sisältää ison kokoelman ohjelmakirjastoja, joiden erilaiset tehtävät on jaettu omiin kokonaisuuksiinsa, kuten esimerkiksi tietoliikenne ja tiedonsiirto. Tietoturvallisuusominaisuudet on hajautettu järjestelmään siten, että eri osa-alueiden yhteydessä olevat ratkaisut ovat yhdessä paketissa samaan aihepiiriin kuuluvien toimintojen kanssa. Ohjelmakirjastot pystyvät kuitenkin käyttämään tarvittaessa toistensa ominaisuuksia ja loppu viimein tietoturvatoiminnot hyödyntävät aina myös erillisen tietoturvakirjaston toimintoja. [2]. Symbianiin on alusta lähtien rakennettu turvallisuutta tukevia ominaisuuksia ja moduuleja, joista esittelen seuraavaksi tärkeimmät.

Ensinnäkin Symbianin turvallisuusjärjestelmä tarjoaa tuen turvallisille tietoliikenneprotokollille, kuten HTTPS, SSL ja IPSec, jotka auttavat tiedon luotettavuuden, eheyden ja autentikoinnin varmistamisessa. Ohjelmien oikeellisuuden varmistaminen on Symbianissa toteutettu digitaalisen allekirjoituksen avulla, jonka kautta ohjelmat on autentikoitava. [1]
Turvallisuusmoduulit

Symbianin kryptografiamoduuli hoitaa tiedon kryptauksen ja se tarjoaa tukea useille laajasti käytössä oleville salausmenetelmille ja algoritmeille. Se sisältää komponentteja, jotka voidaan jakaa kolmeen pääalueeseen: salausalgoritmit, hash-funktiot ja pseudo-satunnaislukugeneraattorit. Salausalgoritmien tehtävänä on tiedon salaaminen ja purkaminen ja näistä tärkeimpinä voidaan mainita asymmetriset DSA, RSA ja DH sekä symmetriset DES, 3DES, RC2, RC4 ja RC5. Hash-funktioista tuettuja ovat ainakin MD5, SHA1 ja HMAC. [2]

Käyttöjärjestelmästä löytyvä sertifikaattien hallintamoduuli tekee mahdolliseksi sovelluskohtaisen resurssien autentikoimisen ja osaltaan hyödyttää suuresti Symbianin tietoturvaa. Se hoitaa puhelimessa suoritettavien toimintojen tunnistamisen sekä myös itse puhelimen käyttäjän tunnistamisen. Tunnistettava toiminto voi olla esimerkiksi kolmannen osapuolen tarjoama www-palvelin tai asennettava ohjelmisto. Sertifikaattien hallintamoduulin tarjoamia palveluita ovat muun muassa luottamustason määrittely sertifikaateille ohjelmistotasolla, sertifikaattien varastointi ja haku sekä sertifikaattiketjun muodostus ja validointi.
Ohjelmien asennusprosessi

Symbianissa on ohjelmien asentamiseen suunniteltu järjestelmä, jonka avulla taataan nopea sekä turvallinen asennusprosessi. Sen avulla voidaan asentaa, valita, ajaa ja myös poistaa asennetut paketit ja ohjelmistot. [1]. Tietoturvan näkökulmasta tärkein ominaisuus on se, että asennusjärjestelmän avulla voidaan autentikoida asennettava ohjelmisto digitaalisella allekirjoituksella varmistaen sen onko ohjelma tunnetusta ja luotetusta lähteestä peräisin. Käyttäjä saa ilmoituksen siitä onko ohjelma virallisesti autentikoitu ja voi tämän jälkeen itse päättää, uskaltaako asentaa sen silti ja ottaa riskin mahdollisesta haittaohjelmasta.

Haittaohjelmat

Symbian oli pitkään käytetyin älypuhelin käyttöjärjestelmä ja sille on tehty aikojen saatossa runsaasti erilaisia haittaohjelmia. Ensimmäinen älypuhelinvirus Cabir julkaistiin nimenomaan Symbianille ja se lähti leviämään vuonna 2004. Vielä vuonna 2009 lähes tarkalleen puolet älypuhelimille kohdistetuista haittaohjelmista olivat Symbianille [3]. Sittemmin kilpailun tasoittuessa ja muiden valmistajien ohittaessa Symbianin, myös sille tarkoitettujen haittaohjelmien osuus on vähentynyt ja se olikin vuoden 2011 elokuussa enää hieman alle 14 prosenttia [4].

Yleisimmät Symbianille kohdistetut haittaohjelmat voidaan jakaa kahteen luokkaan: virukset ja troijalaiset. Valtaosa haittaohjelmista on samojen ohjelmien variantteja ja näin voidaankin puhua niin sanotuista ”haittaohjelmaperheistä”. Esimerkiksi edellä mainitusta Cabirista on jo yli 30 eri muunnelmaa. Muita isoja perheitä ovat Cardtrap, Skulls, Commwarrior ja Addisabler. Symbianille on siis iso määrä haittaohjelmia ja seuraavaksi esittelen niistä muutaman tunnetuimman.

Cabir on tunnetuin ja laajimmalle levinnein Symbianille tarkoitettu mobiilivirus ja sen leviämistapa on bluetooth-yhteydet. Asennettuna se skannaa puhelimen avoimia bluetooth-yhteyksiä ja pyrkii lähettämään caribe.sis nimisen tiedoston yhteyden yli toiseen puhelimeen. Cabir ei ole erityisen vaarallinen puhelimelle, mutta se voi tehdä käyttöjärjestelmästä hieman epävakaan ja lisäksi kuluttaa akun nopeasti tyhjäksi bluetooth-skannauksen viedessä paljon virtaa. [5]

Skulls on puolestaan troijalainen, joka aiheuttaa jo paljon enemmän harmia käyttäjälle. Mikäli se asennetaan Symbianiin, kaikki käyttöjärjestelmän ikonit korvautuvat pääkallon kuvilla, mitään ohjelmia ei voi käyttää ja edes tekstiviestejä ei voi lähettää. Puhelut ovat ainoa toiminta, mikä käyttäjälle jää jäljelle. Skulls leviää Cabirin tapaan pääasiassa bluetooth-yhteydellä, mutta se levisi laajasti myös erilaisilla puhelinfoorumeilla ladattavana tiedostona esittäen itsensä troijalaisten tapaan jonakin hyötyohjelmana (esim. taustakuva, peli). [6]

Commwarrior oli ensimmäinen bluetooth-yhteyden ohella myös MMS-viesteihin leviävä mato. Se siis paitsi leviää bluetoothilla kuten Cabir, myös lähettää itsensä (eli satunnaisesti nimetyn .SIS tiedoston) kaikkiin käyttäjän kontaktilistalla oleviin puhelinnumeroihin. Commwarrior on kohtuullisen harmiton puhelimen käytettävyyden kannalta, mutta aiheuttaa viestein levitessään harmillisia yllätyksiä puhelinlaskuun.[7]

Suojautuminen

Turvakoodit ja salaaminen

Älypuhelimiin kohdistuvilta uhilta suojautumisessa on ehdottomasti tärkeintä käyttäjän oma järjenkäyttö ja yleinen varovaisuus käyttöjärjestelmästä riippumatta. Huolehtiminen siitä ettei laitetta varastettaisi tai ettei se hukkuisi, on tietysti ensiarvoisen tärkeää, mutta näitä ei voida kuitenkaan koskaan varmasti estää. Siksipä puhelimen SIM-kortin alkuperäisen PIN-koodin vaihtaminen (=liittymän suojaus) ja Symbian-puhelimista löytyvän luvatonta käyttöä ehkäisevän suojakoodiominaisuuden käyttöönotto (=itse puhelinlaitteen suojaus) ovat ensimmäisiä toimia turvallisuuden kohentamiseen ja auttavat kun puhelin joutuu vääriin käsiin. Tällaisten tapahtumien vaikutuksia voidaan Symbianeissa ehkäistä myös ohjelmallisesti ja puhelimessa olevien luottamuksellisten tietojen salaus onkin mahdollista hoitaa tarkoitukseen tehdyllä tietojensalausohjelmalla. Ohjelma kryptaa ja suojaa tiedostot niin, ettei ulkopuolinen pääse lukemaan niitä. Tarkoitukseen voi suositella esimerkiksi Symbianille sopivaa maksullista Best Crypto-ohjelmaa. Ilmainen ja asiansa ajava salakirjoittamiseen tarkoitettu ohjelma on esimerkiksi Mobile Cipher. [8]
Haittaohjelmien torjunta

Kuten jo työn alkupuolella mainittiin, Symbianille tällä hetkellä olemassa olevat haittaohjelmat eivät asennu ilman käyttäjän lupaa ja puhelin ilmoittaa mikäli asennettava ohjelma ei ole tunnetusta ja luotetusta lähteestä. Käyttäjät ovat kuitenkin usein uteliaita ja voivat asentaa hyötyohjelmana esiintyvän troijalaisen helposti, lisäksi emme voi ikinä tietää mitä viruskehittäjät tulevaisuudessa luovat. Siksipä Symbian-pohjaisille älypuhelimille on kehitetty viruksentorjuntaohjelmistoja samaan tapaan kuin esimerkiksi tietokoneille. Nämä tunnistavat haittaohjelmat, ilmoittavat niistä käyttäjälle ja pystyvät mahdollisesti puhdistamaan saastuneen käyttöjärjestelmän. Omien selvitysteni perusteella olen havainnut, että hyviä ja luotettavia torjuntaohjelmia ovat esimerkiksi maksulliset (n.30e/vuosi) F-Secure Mobile Security ja Kaspersky Mobile Security. Ilmaista, usein päivittyvää ja luotettavaa virustorjuntaa on Symbianille todella vaikea löytää, lähes kaikista maksullisista ohjelmistoista on kuitenkin mahdollista ladata ilmainen kokeiluversio. Yleisenä haittapuolena Symbianin virustorjuntaohjelmissa on se, että ne saattavat hidastaa puhelimen toimintaa merkittävästi.

Päätelmät / yhteenveto

Symbianiin liittyvän tietoturvallisuuden loppupäätelmänä haluan erityisesti korostaa sitä, että ohjelmat eivät korvaa oman järjen käyttöä. Symbianiin on sisäänrakennettu hyödyllisiä tietoturvaominaisuuksia ja saatavilla on erilaisia ohjelmia edelleen edesauttamaan puhelimen tietoturvallisuutta, mutta kaikki kulminoituu kuitenkin käyttäjän omaan järkevään toimintaan. Symbianin suurimmat haavoittuvuuden liittyvät tietoliikenneyhteyksiin ja tarjolla on paljon erityisesti bluetoothia hyödyntäviä haittaohjelmia. Symbian on pikkuhiljaa kuoleva käyttöjärjestelmä, mutta se on jo levinnyt niin laajalle ja sille on tehty jo niin paljon haittaohjelmia, ettei sen tietoturvallisuudesta huolehtimista voi vielä unohtaa.

Lähteet

[1] Marko Lahtela, Tomas Perovuo. 2002. Symbian OS, Seminaarityö. [Viitattu 1.11.2011].Saatavissa: http://koti.mbnet.fi/lahtelam/liitteet/Symbian_OS.pdf

[2] Juhani Repo, Jarno Sahanen. 2004. Symbian Security. [Viitattu 1.11.2011]. Saatavissa: http://www2.it.lut.fi/kurssit/03-04/010628000/Seminars/Symbian_security.PDF

[3] Alexander Gostev. 2009. Securelist. Mobile Malware Evolution: An Overview, Part 3. [Viitattu: 24.11.2011]. Saatavissa: www.securelist.com/en/analysis/204792080/Mobile_Malware_Evolution_An_Overview_Part_3

[4] Alexander Gostev. 2011. Securelist. Monthly Malware Statistics: August 2011. [Viitattu: 24.11.2011]. Saatavissa: www.securelist.com/en/analysis/204792190/Monthly_Malware_Statistics_August_2011

[5] Securelist. SymbOS?.Cabir.a. [Viitattu: 24.11.2011]. Saatavissa: http://www.securelist.com/en/descriptions/old60663

[6] Securelist. SymbOS?.Skuller.a. [Viitattu: 24.11.2011]. Saatavissa: http://www.securelist.com/en/descriptions/108177/Trojan.SymbOS.Skuller.a

[7] Securelist. SymbOS?.Comwar.a [Viitattu: 24.11.2011]. Saatavissa: http://www.securelist.com/en/descriptions/140836/Worm.SymbOS.Comwar.a

[8] Suomen Mobiiliasiantuntijat. 2011. Mobiilitietoturvavinkit kuluttajille. [Viitattu 26.11.2011]. Saatavissa: http://www.mobiiliasiantuntijat.fi/mobiilitietoturvavinkit.html

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Kehitteillä
Tyyppi Ydin
Luokitus Uhkat
Mitä Useita
Miltä Useita
Missä Laite
Kuka Muu
Milloin Päivittäin
Miksi Hyvä tapa
Print version |  PDF  | History: r5 < r4 < r3 < r2 | 
Topic revision: r5 - 01 Dec 2011 - 00:43:48 - SamuNevala?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback