Taloussanomat
Lue uutinen mobiilisivustolla
Puhelin otettavissa haltuun wlan-yhteyden yli

Iphonen tietoturva helisee jälleen

23.7.2007 13:58 Independent Security Evaluatorsin tietoturvatiimi on penkonut Iphonen tietoturvaa oikein urakalla. Tutkijat löysivätkin puhelimesta yhden haavoittuvuuden ja kolme hyökkäysvektoria, joiden yksityiskohdat julkaistaan elokuun alussa Las Vegasin Blackhat-tapahtumassa.

Independent Security Evaluators pystytti erillisen sivuston löytämiensä Iphone-tietoturvaongelmien esittelyyn. Haavoittuvuuden hyödyntämisestä on julkaistu myös demovideo Youtubessa.

Yhtiön tiimi löysi haavoittuvuuden, kehitti työkalut ja loi demokoodin Applen ensimmäiseen puhelimeen hyökkäämisestä kahdessa viikossa. Osa työkaluista perustui Iphone dev wikin työhön.

ISEn haavoittuvuus liittyy puhelimen Safari-mobiiliselaimeen. Käytännössä tutkijat ovat löytäneet tavan käskyttää selaimen avulla mitä tahansa puhelimen toimintoa web-sivuille upotetuilla koodinpätkillä. Näin selain voidaan käskyttää esimerkiksi lähettämään kaikki käyttäjän sähköpostit tai tekstiviestit hyökkääjän palvelimelle.

Tiimin demokoodi lukee puhelimen sms-viestit, osoitekirjan, soittohistorian ja puhepostitiedot, ja lopulta lähettää kaikki nuo tiedot hyökkääjälle. Tiimin mukaan koodi voitaisiin korvata lähettämään esimerkiksi kaikki sähköpostisalasanat hyökkääjälle, lähettämään tekstiviestejä maksupalveluihin tai nauhoittamaan käyttäjän puhetta.

Haavoittuvuus voidaan tutkijoiden mukaan laukaista kolmen hyvin erilaisen hyökkäysvektorin kautta.

Ensimmäinen liittyy puhelimen tapaan tunnistaa wlan-verkot ssid-tunnisteen perusteella. Jos tietyn niminen verkko on Iphoneen jo hyväksytty, puhelin kirjautuu mukisematta muihin saman nimisiin verkkoihin. Näin hyökkääjä voi luoda Iphonelle vahingollisia wlan-tukiasemia, jotka lisäävät surfattaville web-sivuille sopivan haittakoodin.

Toinen hyökkäysvektori liittyy web-foorumeihin, joihin voidaan syöttää haluttu haittakoodi. Yleensä tämä tarkoittaa sitä, ettei foorumiohjelmistoa olla otettu oikein käyttöön.

Kolmas vektori on puhelimeen vastaanotetut tekstiviestit ja sähköpostit. Käyttäjän tarvitsee vain avata puhelimella viestissä kerrottu nettiosoite.

Tutkijat toteavat, että haavoittuvuus löytyy myös Safari-selaimen Mac- ja Windows-versioista, mutta ei välttämättä ole niissä hyödynnettävissä.

Tietoturvatutkijat ovat jo ilmoittaneet ongelmista Applelle. Elokuun alussa tiimin edustaja esittelee haavoittuvuuden yksityiskohdat Las Vegasin Blackhat-tapahtumassa.

Jutun kirjoitti: Matias Mäki

Matias Mäki

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Mainitut yritykset

Kommentit (18)

Huono 0
Independent Security Evaluatorsin tietoturvatiimi on penkonut Iphonen tietoturvaa oikein urakalla. Tutkijat löysivätkin puhelimesta yhden haavoittuvuuden ja kolme hyökkäysvektoria, joiden yksityiskohdat julkaistaan elokuun alussa Las Vegasin Blackhat-tapahtumassa.
Digitoday
Huono 0
Applen uusin saa taas hyvää julkisuutta. Odotin Applelta toimivaa ja aukotonta käyttistä iPhonessa, kuten mac on os x ollut, mutta ainakin näin alkumetreillä näistä haavottuvaisuuksista saa lukea päivittäin.
Mika
Huono 0
Hyökkäysvektori kuulostaa kyllä olevan peräisin sarjasta 24.
Zupa
Huono 0
Ei näin, ei todellakaan näin. Ihmiset vielä ostavat Applen tuotteita, koska niistä on tullut eräänlainen muoti-ilmiö.
Tietoturva
Huono 0
Mielenkiintoista olisi tietää, ovatko sähköpostisalasanat puhelimessa tosiaan kryptaamattomina. Mac OS X ainakin säilyttää tallennetut salasanat erillisessä keychainissa kryptattuina.

Tällaisen tietoturva-hypen jälkeen Applella lienee kohta tarjota kuluttajille turvallisinta puhelinta, jota markkinoilta saa. Muut valmistajat ovat arvatenkin kateudesta vihreitä, kun ilmainen apujoukko metsästää kaikki bugit Applen tuotteista. Eräänlaista fanboy-liikettä se on tällainenkin, halusivatpa arvon "tietoturvatutkijat" sitä tai ei. Kukaan meistä tuskin on niin naiivi, että uskoisi muiden valmistajien softien olevan täysin aukottomia. Ei vaan ole kovin mediaseksikästä ruveta pieksemään jotain Nokialaisen wappiselainta. Eikä sitä Suuren Kotimaisen selainta rapakon takana kovin moni taida lopulta käyttääkään, kun laitteiden markkinaprosentinkin voi yhden käden sormilla ilmoittaa.
SysOp
Huono 0
Rapakon takana on kuitenkin vain pieni osa koko maailman kännykkämarkkinoista (ja selaimen käyttäjistä)
Jukka
Huono 0
Ei taida kovinkaan montaa aukotonta puhelinta löytyä. Symbianissa vilisee viruksia/haittaohjelmia kuin windowsissa konsanaan, nuukian erää mallit taitavat vieläkin kuolla pelkkään SMS-viestiin ja lähes jokaisella merkillä löytyy oma BT-haavoittuvuus (eikä Motorolaa edes kiinnostanut tarjota paikkaa omaan aukkoonsa). Edelleen on rikollisen mielikuvitus alipalkatun koodarin mielikuvitusta mahtavampi.
Aukotonta?
Huono 0
Jos Nokian N-sarjan säälittävät luurit saisivat näin paljon julkisuutta ja niiden rautaa sekä softaa pengottaisiin samalla lailla, niin luuletteko, ettei sieltä löytyisi samalla tavalla reikiä ja muuta roskaa, varmasti jopa 10 kertaa enemmän.
jacce
Huono 0
Jokainen iPhonen bugikin näköjään tulkitaan täällä aina Applen voitoksi.
Heikki
Huono 0
Jos Nokian Symbian kyhäelmä joutuisi vastaavanlaiseen testiin niin ei kyllä hyvä heiluisi ja jokainen Symbiankännykän omistaja lopettaisi kännykkänsä käytön välittömästi. Uskon iPhonen käyttiksen olevan vähintäänkin yhtä hyvän kun Applen tietokonekäyttis.
Nyt Apple saa ilmaista tuotekehitystä propellipäiltä. Nokialla ei ole yhtään puhelinmallia, joka olisi saanut vastaavanlaisen avustusbuustin nörteiltä.

Minä oikein odotan, että Vodafone tai T-mobile toisi tuon iPhonen myös tänne eurooppaan! Aattelepa iPod nanon kokoinen puhelin kaikilla herkuilla
Apple saa ilmaista tuotekehitystä
Sivut: 1 2 Edellinen Seuraava

Uusimmat uutiset

Digiyesterday

Viisi vuotta sitten

G8-maat: apua tarvitaan lapsipornon vastaiseen sotaan

27.05.2007 G8-maat ovat tehneet vetoomuksen vahvistaakseen lapsipornon vastaista taistelua. Maat kehottavat muun muassa internet-palveluntarjoajia, it-ammattilaisia, mediaa, vanhempia ja opettajia miettimään, miten voisivat osallistua taisteluun.


Kolme vuotta sitten

Facebook sai 200 miljoonaa taalaa venäläissijoittajilta

27.05.2009 Yhteisösivusto Facebook kertoi varmistaneensa uuden pääomaruiskeen venäläiseltä Digital Sky Technologies -sijoitusyhtiöltä.

.