You are here: TUTWiki>Tietoturva/Tutkielmat>LamminsaariT?>2007-24
Pekka Kovamäki:

Haittaohjelmat mobiililaitteissa

Johdanto

Mobiililaitteet ovat viimeisien vuosikymmenien aikana kokeneet monen muun tekniikanalan tapaan melkoisen kehitysaskeleen. Käyttäjien ja ominaisuuksien lisääntyessä, sekä laitteiden muuttuessa entistä monipuolisemmaksi ollaan törmätty myös tietoturvaongelmiin.

Tutkielman tarkoituksena on käsitellä erilaisia mobiililaitteissa ilmeneviä tietoturvaongelmia ja niiden taustoja. Tutkielmassa keskitytään erityisesti erittelemään millaiset virukset ja haittaohjelmat tällä hetkellä mobiililaitteita riivaavat sekä miten ne leviävät. Lopuksi käsitellään suppeasti sitä, miten mobiililaitteiden tietoturvaongelmilta voidaan välttyä.

Virukset ja haittaohjelmat

Mobiililaitteet säilyivät pitkään ilman viruksien ja haittaohjelmien aiheuttamia ongelmia, mutta älypuhelimien yleistyessä ne alkoivat kiinnostaa myös haittaohjelmia tekeviä ja niitä levittäviä henkilöitä.

Ensimmäinen mobiilihaittaohjelmien rypäs havaittiin vuonna 2000, kun troijalaiset ja muutamat muut haittaohjelmat levisivät kämmentietokoneissa käytettyyn Epoc-käyttöjärjestelmään [1]. Sittemmin kämmentietokoneissa esiintyneet virukset ovat jääneet mobiililaitteista löydettyjen tartuntojen varjoon, sillä toukokuuhun 2006 mennessä niitä oli löydetty Palm- ja PocketPC? -laitteisiin yhteensä ainoastaan 7 kappaletta [3]. Kesäkuussa 2004 alkoi uusi mobiilivirusten aikakausi, kun esimerkiksi Nokian älypuhelimissaan käyttämässä, Symbianista muokatussa käyttöjärjestelmässä, havaittiin Cabir-mato [1], [17]. Tämän jälkeen Symbian-virusten määrä on lähtenyt hiljalleen kasvuun ja vuoden 2006 joulukuun loppuun mennessä niitä oli kirjattuna 344, joista tosin suurin osa on aikaisempien virusten muunnelmia [2]. Kuten edellämainituista taulukoiduista arvoista voidaan todeta, on mobiilivirusten määrä noussut viimeisen kahden vuoden aikana huomattavasti, eikä laskusuhdannetta ainakaan tällä hetkellä ole näkyvissä. Toisaalta verrattaessa mobiilivirusten määrää normaalien tietokonevirusten määrään, on mobiilivirusten osuus varsin vähäinen. Tähän on kyllä osittain syynä se, että älypuhelimia on tietokoneisiin nähden käytössä varsin marginaalinen määrä. Vaikka mobiilihaittaohjelmien määrä ei olekkaan vielä toistaiseksi kovin merkittävä, voi osa jo olemassa olevista haittaohjelmista aiheuttaa saastuneen mobiililaitteen omistajalle merkittävät rahalliset vahingot.

Leviämistavat

Tällä hetkellä mobiilivirukset leviävät yleisimmin mobiililaitteiden välisten Bluetooth-yhteyksien ja MMS-multimediaviestien välityksellä [4]. Tämän lisäksi ne voivat levitä SMS-viestien ja saastuneiden Internet- tai WAP-sivujen välityksellä [5]. Kaikille leviämistavoille on yhteistä se että käyttäjän tarvitsee itse hyväksyä, vastaanottaa tai asentaa virus, mikä on leviämistavasta riippuen naamioitunut joksikin hyödylliseksi sovellukseksi, ominaisuudeksi tai esimerkiksi ilmaiseksi soittoääneksi.

Suurin syy mobiilivirusten leviämiseen on kuitenkin ihmisten tietämättömyys ja välinpitämättömyys. Tietämättömät ihmiset eivät osaa konfiguroida mobiililaitteidensa Bluetooth-asetuksia ja kokevat mobiilitietoturvasovellusten olevan tarpeettomia. Käytännön esimerkkinä voidaan pitää tilannetta jossa pahaa aavistamaton käyttäjä lataa mobiililaitteeseensa hyödylliseksi ohjelmaksi tai ominaisuudeksi naamioituneen viruksen. Tämän jälkeen virus jää pyörimään moniajoa tukevaan Symbian-käyttöjärjestelmään ja leviää avonaisen Bluetooth-yhteyden kautta muihin suojaamattomiin mobiililaitteisiin. Tämä on erityisen yleinen virusten leviämistapa tilanteissa, joissa on paljon ihmisiä pienessä tilassa, esimerkiksi urheilukisoissa [6].

Toimintaperiaatteet

Ensimmäiset Symbian-pohjaisiin mobiililaitteisiin ilmestyneet virukset olivat proof-of-concept -viruksia, jotka ainoastaan pyrkivät tuomaan ilmi mobiililaitteiden haavoittuvuuden, eivätkä siis monesti tehneet juuri mitään muuta haitallista kuin tartuttivat mobiililaitteen [7]. Esimerkkinä tällaisesta viruksesta voidaan pitää ensimmäistä Symbian virusta, joka havaittiin kesäkuussa 2004. Seuraavan sukupolven virukset alkoivat levittää itseään edellämainituilla tavoilla. Nämä virukset olivat tosin monesti ainoastaan ensimmäisen sukupolven virusten variantteja. Tämän jälkeen virukset ja haittaohjelmat ovat monipuolistuneet ja muuttuneet huomattavasti monimutkaisemmiksi.

Nykyisin mobiililaitteissa leviää äärimmäisen rasittavia viruksia. Rahallista vahinkoa käyttäjälle tuottavat virukset, jotka tarkkailevat saastuneeseen laitteeseen tulleita SMS- ja MMS-viestejä ja lähettävät näihin vastauksena itsensä eli saastuttavat myös viestin lähettäneen osapuolen. Nykyisin mobiililaitteissa esiintyy viruksia, jotka tuottavat laitteen käyttäjälle taloudellista vahinkoa mm. vastaamalla saapuneisiin SMS- ja MMS-viesteihin ja levittämällä itseään myös viestin lähettäjille. Jotkin virukset levittävät saastuneen laitteen yhteystietoja Bluetoothin välityksellä muihin laitteisiin. Varsinaisesti puhelimen toimintaa haittaavia viruksia on myös liikkeellä. Ne voivat mm. estää puhelimella soittamisen ja puheluihin vastaamisen tai lamauttaa laitteen toimintaa esimerkiksi poistamalla kriittisiä järjestelmätiedostoja. Koska uusissa puhelimissa on usein (monien muiden ominaisuuksien lisäksi) mahdollisuus käyttää muistikorttia, eivät nekään ole säilyneet virusten tekijöiden kiusalta. On olemassa viruksia, jotka asettavat muistikortille salasanan jota käyttäjä ei luonnollisesti tiedä. Täten muistikortista tulee käyttäjälle itselleen hyödytön [7].

Edellä mainitut virukset tekivät käytännössä ainoastaan vähäistä rahallista haittaa saastuneen mobiililaitteen käyttäjälle. Uusimman sukupolven viruksien takoituksena on rikollinen rahastus ja ne ovat hyvin saman tyyppisiä kuin 90-luvulla ilmenneet Modem-dialerit [3]. Nämä virukset lähettävät esimerkiksi tekstiviestejä tai soittavat maksullisiin numeroihin, tuottaen näin merkittäviä rahallisia vahinkoja liittymän omistajalle.

Muutaman yleisen, merkittävän ja/tai haitallisen viruksen kuvaus

Kuvaukset ovat mukailtu F-Securen sivuilta, joissa käytetään harmillisesti mato, virus ja troijalainen -termejä hieman väärin.

Cabir

Cabir on Bluetooth-mato, joka toimii S60 -alustan Symbian käyttöjärjestelmässä. Se on samalla ensimmäinen Symbian-virus ja se löydettiin kesäkuussa 2004.

Cabir leviää avonaisten ja muille näkyvien Bluetooth-yhteyksien välityksellä. Tällöin se lähettää saastuneen caribe.sis tiedoston jonka vastaanottavan käyttäjän tarvitsee asentaa saadakseen tartunnan. Tiedoston nimi voi tosin vaihdella viruksen variantista riippuen. Tartunnalta voi välttyä käyttämällä oikeaoppista tietoturvaohjelmistoa ja asettamalla Bluetoothinsa näkymättömäksi. Mikäli mobiililaite on jo saastunut, ei Bluetoothia enää pysty ottamaan pois käytöstä, vaan Cabir jatkaa leviämistä sen kautta ja täten kuluttaa akun nopeasti loppuun [8].

Cabir ei siis varsinaisesti aiheuta saastuneeseen mobiililaitteeseen mitään isompaa haittaa, vaan osoittaa ainoastaan älypuhelimien haavoittuvuuden.

Mabir.A

Mabir.A on hyvin samankaltainen virus kuin edellä mainittu Cabir. Myös se toimii S60 -sarjan käyttöliittymissä.

Mabir.A leviää Bluetoothin välityksellä samalla tavalla kuin Cabir, lähettämällä caribe.sis tiedostoa. Tämän lisäksi Mabir.A leviää myös SMS- ja MMS-viestien välityksellä. Se kuuntelee ja tarkkailee puhelimen vastaanottamia viestejä ja lähettää automaattisesti vastauksena info.sis tiedoston, jonka asentamalla vastaanottava kohde saa tartunnan [9].

Mabir.A on varsin vähän harmia aiheuttava mato. Harmillisin ominaisuus siinä on se, että se voi luoda saastuneen mobiililaitteen omistajalle varsin isot puhelinlaskut (koska se leviää myös SMS- ja MMS-viestien välityksellä).

Pbstealer.A

Pbstealer.A toimii S60 -sarjan mobiililaitteissa.

Pbstealer.A on troijalainen, joka lupaa tiivistää puhelimen muistissa olevien yhteystietojen kokoa, mutta todellisuudessa se kokoaa ne yhteen tekstitiedostoon ja lähettää niitä eteenpäin Bluetoothin välityksellä. Se ei leviä itsestään vaan käyttäjän on itse ladattava asennustiedosto ja asennettava se [10].

Pbstealer.A on harmillinen troijalainen, sillä se järkyttää käyttäjän yksityisyyden suojaa levittämällä yhteistietoja ympäriinsä.

Skulls.A

Skulls.A on S60 -sarjan käyttöjärjestelmissä ja Nokian 9500 -puhelimessa haittaa tekevä troijalainen.

Skulls.A on haittaohjelma, joka on naamioitu Extended theme nimiseksi hyötyohjelmaksi. Se ei leviä itsestään, vaan käyttäjän on itse ladattava ja asennettava se. Kun Skulls.A asentuu mobiililaitteisiin se korvaa järjestelmäkuvakkeet pääkalloilla ja estää puhelimelta soittamista ja vastaamista lukuunottamatta kaiken muun toiminnan. Mikäli Skulls.A on päässyt asentumaan, ei mobiililaitetta saa sammuttaa, vaan virus tulee poistaa F-Securen ohjeiden mukaan [11].

Skulls.A oli ensimmäisiä todellista haittaa aiheuttavia troijalaisia.

Cardblock.A

Cardblock.A on Symbian käyttöjärjestelmässä leviävä troijalainen.

Cardblock.A on haittaohjelma, joka hävittää puhelimen käyttöjärjestelmästä oleellisia järjestelmä- ja viestitiedostoja. Tämän jälkeen se lukitsee puhelimessa olevan muistikortin satunnaisella salasanalla, mikä ei luonnollisesti tule käyttäjän tietoon. Näiden edellämainittujen ongelmien lisäksi Symbianin versiossa 8.1a ja sitä uudemmissa tulee käyttäjän ottaa varmuuskopiot oleellisista tiedoista ennen puhelimen uudelleen käynnistystä, sillä tämän jälkeen niihin ei enää pääse käsiksi [12].

Cardblock.A on myös varsin harmillinen virus sillä se voi johtaa siihen, että käyttäjältä häviää jotain oleellista tai henkilökohtaisesti tärkeää tietoa.

Commwarrior

Commwarrior on S60 -sarjan käyttöjärjestelmissä leviävä virus.

Commwarrior leviää sekä Bluetoothin-, että MMS:n välityksellä. Se tutkii mobiililaitteen yhteystietoja läpi ja lähettää itseään satunnaisesti nimettynä .sis tiedostona eteenpäin [13].

Commwarrior on varsin harmiton mutta merkittävä virus koska se on ensimmäinen MMS-viestien välityksellä leviävä virus.

Redbrowser.A

Redbrowser.A on Java pohjaisissa käyttöjärjestelmissä leviävä rahallista haittaa aiheuttava troijalainen.

Redbrowser.A väittää olevansa hyödyllinen ohjelma, joka tuo WAP-sivuja luettavaksi SMS-viestien avulla. Todellisuudessa se lähettää SMS-viestejä maksullisiin numeroihin ja aiheuttaa täten mobiililaitteen käyttäjälle merkittäviä rahallisia haittoja [14].

RedBrowser?.A antaa viitteitä siitä, millaisiksi mobiilivirukset voivat jatkossa muuttua. Aiempien virusten kirjoittajat ovat pääosin olleet ainoastaan kokeilunhaluisia ja hakeneet huomiota, mutta tällä viruksella tavoitellaan selvästi rahallista etua.

Tietoturvaongelmilta suojautuminen

Tämän päivän mobiilivirukset aiheuttavat varsin paljon haittaa, mikäli pääsevät mobiililaitteessa valloileen. Kun ajattelee että mobiililaite levittää itsekseen yhteystietoja eteenpäin, tai soittelee maksullisiin numeroihin, tulee väistämättä varsin turvaton olo. Onneksi näiltä haittaohjelmien aiheuttamilta tietoturvaongelmilta voidaan varsin yksinkertaisin menetelmin suojautua.

Käytännön keinot

Käytännön keinoja haittaohjelmilta suojautumiseen on varsin paljon. Seuraavaksi esittelen muutamia käyttökelpoisia suojautumiskeinoja.

Tärkein sääntö mobiililaitteen käyttäjälle on että ei kannata asentaa puhelimeen mitään minkä toiminnallisuudesta ei ole täysin varma. Tulee myös muistaa, että liian hyvältä kuulostaviin lupauksiin ei kannata uskoa. Toiseksi tärkeimpänä neuvona voidaan pitää Bluetoothin pitämistä poissa päältä ja muilta piilotettuna, silloin kun sitä ei tarvita [15]. Tällöin vältytään esimerkiksi Cabir-madon tartunnalta. Edellä mainittujen lisäksi operaattorien tarjoamia esto- ja rajoituspalveluita käyttämällä voidaan rajoittaa mahdollisen haittaohjelman aiheuttamat puhelinlaskut mahdollisimman pieniksi. Niillä voidaan myös estää mobiililaitetta soittamasta ei haluttuihin numeroihin [15].

Vakoiluohjelmat

Aina vakoilu- tai haittaohjelmat eivät ole pelkästään mobiililaitteen omistujan ajattelemattomuutta. Maailmalla on myynnissä lukuisia vakoiluohjelmia, joiden avulla puhelimen ympäriltä kuuluvia ääniä saadaan tallennettua, viestejä luettua etänä ja seurattua puhelimen sijaintia [18]. Yleensä tällaisia sovelluksia ei asenna puhelimen käyttäjä, vaan joku muu yrittää vaivihkaa saada sellaisen asennettua. Näitä sovelluksia mainostetaan usein ihmisille, jotka ovat esimerkiksi kiinnostuneita puolisonsa yksityiselämästä. Niitä voidaan myös käyttää lastensuojelun nimissä seuraamaan perheen lasten tekemisiä kodin ulkopuolella. Toki ne sopivat myös teollisuusvakoiluun. Näiden sovellusten luokittelussa on hankaluutena, että ne eivät varsinaisesti ole rikollisia tai laittomia, vaikka niiden käyttö muuhun kuin lain rikkomiseen ei olekaan mielekästä.

Ohjelmistot

Mobiililaitteisiin on saatavana tällä hetkellä yhteensä 6 tietoturvaohjelmistoa, joista henkilökohtaisesti pidän merkittävimpinä F-Securen Mobile Anti-Virusta ja Symantec Mobile Securityä [7].

F-Securityn tietoturvaohjelmisto tukee S60- ja S80- sarjaa, sekä Windows Mobile 5:a. S60 -sarjan puhelimiin siitä on saatavana kahta eri versiota. Toisessa on mukana ainoastaan virusohjelmisto, mutta toisessa on tämän lisäksi myös palomuuri, joka soveltuu hyvin Bluetooth-yhteyksien tarkkailuun [16].

Tulee muistaa että edes nämä edellämainitut ohjelmistot eivät suojaa mobiililaitetta, jonka käyttäjä ei omaa käytännönjärkeä sovelluksia asennellessaan.

Päätelmät

Mobiilivirukset ja haittaohjelmat ovat jo tänä päivänä merkittävä tietoturvaongelma, vaikkeivät ihmiset sitä vielä yleisesti tiedostakaan. Virukset ovat viimeisen kahden vuoden aikana lisääntyneet huomattavasti, eikä laskusuhdannetta tälle kehitykselle ole nähtävissä. Mobiiliviruksia on tietokoneviruksiin nähden vielä hyvin marginaalinen määrä, mutta siitä huolimatta jo olemassa olevat virukset saavat varsin harmillisia aikaansaannoksia saastuneisiin mobiililaitteisiin. Onneksi virusturvayhtiöt ovat tiedostaneet tämän kehityksen ja mobiililaitteisiin täten on saatavana niitä hyvin suojaavia virusturvaohjelmistoja.

Lähteet

Tenttitehtäviä aiheeseen: Haittaohjelmat mobiililaitteissa

1. Mikä on aiheuttanut mobiilivirusten yleistymisen viimevuosien aikana?
2. Mitkä ovat yleisimmät mobiilivirusten leviämistavat?
3. Mitä toiminnallisuutta tämän hetken mobiilivirukset sisältävät?
4. Miten mobiiliviruksilta voidaan suojautua?

-- TomiLamminsaari? - 20 Sep 2009
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 17 Nov 2009 - 02:57:19 - TomiLamminsaari?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback