Iphonen tietoturva helisee jälleen
23.7.2007 13:58 Independent Security Evaluatorsin tietoturvatiimi on penkonut Iphonen tietoturvaa oikein urakalla. Tutkijat löysivätkin puhelimesta yhden haavoittuvuuden ja kolme hyökkäysvektoria, joiden yksityiskohdat julkaistaan elokuun alussa Las Vegasin Blackhat-tapahtumassa.
Independent Security Evaluators pystytti erillisen sivuston löytämiensä Iphone-tietoturvaongelmien esittelyyn. Haavoittuvuuden hyödyntämisestä on julkaistu myös demovideo Youtubessa.
Yhtiön tiimi löysi haavoittuvuuden, kehitti työkalut ja loi demokoodin Applen ensimmäiseen puhelimeen hyökkäämisestä kahdessa viikossa. Osa työkaluista perustui Iphone dev wikin työhön.
ISEn haavoittuvuus liittyy puhelimen Safari-mobiiliselaimeen. Käytännössä tutkijat ovat löytäneet tavan käskyttää selaimen avulla mitä tahansa puhelimen toimintoa web-sivuille upotetuilla koodinpätkillä. Näin selain voidaan käskyttää esimerkiksi lähettämään kaikki käyttäjän sähköpostit tai tekstiviestit hyökkääjän palvelimelle.
Tiimin demokoodi lukee puhelimen sms-viestit, osoitekirjan, soittohistorian ja puhepostitiedot, ja lopulta lähettää kaikki nuo tiedot hyökkääjälle. Tiimin mukaan koodi voitaisiin korvata lähettämään esimerkiksi kaikki sähköpostisalasanat hyökkääjälle, lähettämään tekstiviestejä maksupalveluihin tai nauhoittamaan käyttäjän puhetta.
Haavoittuvuus voidaan tutkijoiden mukaan laukaista kolmen hyvin erilaisen hyökkäysvektorin kautta.
Ensimmäinen liittyy puhelimen tapaan tunnistaa wlan-verkot ssid-tunnisteen perusteella. Jos tietyn niminen verkko on Iphoneen jo hyväksytty, puhelin kirjautuu mukisematta muihin saman nimisiin verkkoihin. Näin hyökkääjä voi luoda Iphonelle vahingollisia wlan-tukiasemia, jotka lisäävät surfattaville web-sivuille sopivan haittakoodin.
Toinen hyökkäysvektori liittyy web-foorumeihin, joihin voidaan syöttää haluttu haittakoodi. Yleensä tämä tarkoittaa sitä, ettei foorumiohjelmistoa olla otettu oikein käyttöön.
Kolmas vektori on puhelimeen vastaanotetut tekstiviestit ja sähköpostit. Käyttäjän tarvitsee vain avata puhelimella viestissä kerrottu nettiosoite.
Tutkijat toteavat, että haavoittuvuus löytyy myös Safari-selaimen Mac- ja Windows-versioista, mutta ei välttämättä ole niissä hyödynnettävissä.
Tietoturvatutkijat ovat jo ilmoittaneet ongelmista Applelle. Elokuun alussa tiimin edustaja esittelee haavoittuvuuden yksityiskohdat Las Vegasin Blackhat-tapahtumassa.
Matias Mäki
matias.maki@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 25.5. Robottikäsivarsi hinasi Dragonin asemalle
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Diablo III:n julkaisija hekumoi myyntiä ja pahoittelee bugeja
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 25.5. Tämä käkikello muni Pebblen Kickstarter- pesään
- 25.5. Facebook Camera ottaa ja jakaa kuvia iPhonessa
- 24.5. IPhoneen uusi alihankkija
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 24.5. Yle siirtää seuraavaksi Pasilan teräväpiirtoon
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 24.5. Blackberryn joukot harvenevat
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Motorola Mobilityn johdossa on nyt myyntimies
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- 25.5. Lumialla voi katsella videoklippejä
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. Googlen Android-kauppa sai uusia rahastuskeinoja
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Nokia luopuu isosta massatapahtumasta
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 24.5. Huhu: Symbianiin ei enää päivityksiä
- 25.5. Lumialla voi katsella videoklippejä
- 25.5. Applen Cook kieltäytyy optioiden osingoista
- 24.5. IBM pitää iPhonen Siriä tietoturvariskinä
- 25.5. ZTE toimittaa suomalaisella 3d-tekniikalla tehtyjä Android-puhelimia
- 24.5. IPhoneen uusi alihankkija
- 24.5. Nokia luopuu isosta massatapahtumasta
- 24.5. HP irtisanoo ja palaa taulutietokoneisiin
- 24.5. Adoben flash saa saattohoitoa Windows 8:ssa
- 25.5. Zuckerberg unohti sulhasen ohjeen - antoi 20 000 euron vihkisormuksen
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Uutispäivä
Vuorokauden kaikki uutiset yhdellä sivulla.
Uusimmat uutiset
- IBM pitää iPhonen Siriä tietoturvariskinä 15:40
- Adoben flash saa saattohoitoa Windows 8:ssa 09:17
- Googlen Larry Page: Facebook pitää käyttäjiä panttivankeina 07:00
- Anonymous löysi reitin jenkkiministeriön palvelimelle 22:24
- ”Apple ei anna kehittää virustorjuntaa iPhoneen” 16:55
- Uutuustuotteen lupaus verkkopelaajille: ei enää ärsyttäviä salasanoja 13:55
- Mobiilikonnat entistä ovelampia: Esimerkkinä uusi Angry Birds 14:24
- Äärijuutalaisten nettikokous täyttää kaksi stadionia 07:00
- Lisää
Poiminnat
Digiyesterday
Viisi vuotta sitten
G8-maat: apua tarvitaan lapsipornon vastaiseen sotaan
27.05.2007 G8-maat ovat tehneet vetoomuksen vahvistaakseen lapsipornon vastaista taistelua. Maat kehottavat muun muassa internet-palveluntarjoajia, it-ammattilaisia, mediaa, vanhempia ja opettajia miettimään, miten voisivat osallistua taisteluun.
Kolme vuotta sitten
Facebook sai 200 miljoonaa taalaa venäläissijoittajilta
27.05.2009 Yhteisösivusto Facebook kertoi varmistaneensa uuden pääomaruiskeen venäläiseltä Digital Sky Technologies -sijoitusyhtiöltä.
Taloussanomat
- Asuntopula ja 24 600 tyhjää asuntoa, mikä kaupunki? 06:01
- Suomikin oli hukkua liian vahvaan valuuttaan 06:09
- Yritysguru: Facebook tappaa Piilaakson 10:17
- Muhkean muovinen Nissan Juke 06:05
- Jos Kreikka lähtee, Saksa kärsii 11:08
- Yllätys? Aurinkohan säteilee täällä Saksan malliin 06:09
- Facebookissa vihainen vastaanotto – IMF-johtaja pehmensi Kreikka-lausuntojaan 09:18
- Tämäkin vielä: Turistitkin kaihtavat Kreikkaa 15:08
- Ainakin 2000 saa potkut RIMiltä 09:44
- Suomi löysi taas Nokian älypuhelimet 06:01
- » Taloussanomat.fi
Kommentit (18)
Tällaisen tietoturva-hypen jälkeen Applella lienee kohta tarjota kuluttajille turvallisinta puhelinta, jota markkinoilta saa. Muut valmistajat ovat arvatenkin kateudesta vihreitä, kun ilmainen apujoukko metsästää kaikki bugit Applen tuotteista. Eräänlaista fanboy-liikettä se on tällainenkin, halusivatpa arvon "tietoturvatutkijat" sitä tai ei. Kukaan meistä tuskin on niin naiivi, että uskoisi muiden valmistajien softien olevan täysin aukottomia. Ei vaan ole kovin mediaseksikästä ruveta pieksemään jotain Nokialaisen wappiselainta. Eikä sitä Suuren Kotimaisen selainta rapakon takana kovin moni taida lopulta käyttääkään, kun laitteiden markkinaprosentinkin voi yhden käden sormilla ilmoittaa.
Nyt Apple saa ilmaista tuotekehitystä propellipäiltä. Nokialla ei ole yhtään puhelinmallia, joka olisi saanut vastaavanlaisen avustusbuustin nörteiltä.
Minä oikein odotan, että Vodafone tai T-mobile toisi tuon iPhonen myös tänne eurooppaan! Aattelepa iPod nanon kokoinen puhelin kaikilla herkuilla