Nettiselaimen lisäosa on tietoturvariski
Selainlaajennusten bugit tarjoavat tietomurtautujille uuden väylän kotikoneeseen.
Kuva: Rosana Prada (ötökkä)
Lisenssi: Creative Commons Attribution ShareAlike 2.0
16.1.2008 13:52 Nettiselaimiin ladattavista laajennuksista on tullut viime kuukausina tietomurtautujien kannalta houkuttelevia kohteita. Itse selainten tietoturvaongelmiin on puututtu, mutta moni selainlaajennuksen tekijä laiminlyö tietoturvan ajattelemisen ohjelmointivaiheessa.
Selainten toiminnallisuutta parantavien laajennuspalikoiden ohjelmointivirheet tarjoavat yhä useammin tietomurtautujille eli kräkkerille oikopolun surffaajan koneelle. Näin arvioivat suomalaiset tietoturva-asiantuntijat.
– Kyllä kräkkerit tutkivat näitä suosituimpia laajennuksia, sanoo tietoturva-asiantuntija Pekka Sillanpää Nixusta.
Selainlaajennukset ovat nykyisin suosittuja, sillä nettisurffaajat arvostavat nopeutta ja tehokkuutta. Siksi verkkoselaimista suunnitellaan kevyitä. Ajatuskulku on seuraava: massoille jaettavaan selaimeen liitetään vain välttämättömät osat ja lisäominaisuuksia kaipaavat voivat muokata selaintaan lisäämällä siihen laajennuksia.
Esimerkiksi Mozilla Firefox -selaimeen voi asentaa vaikkapa Delicious Bookmarks -laajennuksen, joka integroi selaimen Delicious-linkinjakopalveluun. Internet Explorer -selaimen käyttäjä voi puolestaan asentaa esimerkiksi Google Desktop- tai QuickTime-laajennuksen.
Samalla kun laajennus parantaa selaimen toiminnallisuutta, se hajauttaa vastuun tietoturva-arkkitehtuurista.
– Hyökkäykset selainlaajennuksia kohtaan ovat varmasti yleistymässä, sillä suositut laajennuspalikat muuttuvat houkutteleviksi kräkkerin silmissä, Sillanpää sanoo.
Aluksi kräkkerit tunkeutuivat kotikoneelle Windowsin tietoturva-aukkojen kautta. Sitten kräkkerit siirtyivät hyväksikäyttämään selainten ongelmia. Lopulta kiinnostus kohdistui nettiselainten laajennuksiin eli extension-, plugin- ja add-on-palikoihin, selittää tutkimusjohtaja Mikko Hyppönen F-Securelta.
– Selainlaajennuksien aukkoja käyttävät hyökkäykset ovat yleistyneet aivan viime kuukausina, Hyppönen sanoo.
Kräkkerin kannalta selainlaajennus on kiinnostava kohde, koska se ei yleensä päivity yhtä säännöllisesti ja tiheästi kuin itse selain tai käyttöjärjestelmä. Säännöllisten tietoturvapäivitysten avulla esimerkiksi Mozilla Foundation ja Microsoft pystyvät hillitsemään selaimiensa tietoturvaongelmia.
– Koska itse olet viimeksi päivittänyt selaimesi laajennukset? Hyppönen kysyy.
Laajennukset tarjoavat yleensä paljon avonaisemman väylän käyttäjän koneelle kuin itse selain. Siinä missä Mozilla Firefox suorittaa verkkosivuilla olevia skriptejä sivuston tasolla, laajennukset asettuvat matalammalle tasolle osaksi Firefoxia käyttäen hyväkseen chrome-protokollaa. Tämä tekee esimerkiksi näppäimistön lyöntejä nauhoittavan keylogger-kuuntelijan tekemisestä helpompaa.
Ongelmalliseksi tilanteen tekee myös se, että monet ohjelmat ja laitteet, kuten kännykät tai digitaalikamerat, asentavat selainlaajennuksia käyttäjän huomaamatta. Esimerkiksi Applen QuickTime-videolaajennuksesta on paljastunut useita tietoturva-aukkoja viimeisen vuoden aikana. Moni käyttäjä on ollut kuitenkin autuaan tietämätön koko QuickTime olemassaolosta koneellaan.
Hyppönen ennustaa tilanteen laukeavan perinteisen kaavan mukaisesti: aluksi hyökkäysten määrä lisääntyy, sitten ongelmaan reagoidaan ja kehitetään ratkaisu. Hän ennustaa, että selainvalmistajat ottavat tulevaisuudessa vastaan tietoja kolmansien osapuolien tekemien laajennusten tietoturvaongelmista ja varoittavat laajennusten käyttäjiä selaimen kautta.
Aleksi Moisio
aleksi.moisio@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Netin kuumimman osoitteen huutokauppa peruuntui
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Google: Viacom väärensi videoita näyttämään varastetuilta
- 19.3. HTC tyrmää Applen patenttisyytökset
- 19.3. Samsung tähtää kaksinumeroiseen kasvuun
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Pelastakaa Lasten nettityölle heltisi 45 000 euroa
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- 19.3. Palmin näkymät eivät vakuuttaneet
- 19.3. Vankilan korvaava seurantapanta lähestyy
- 19.3. Kärkipelit vaihtuvat tiuhaa tahtia
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- 19.3. Netin kuumimman osoitteen huutokauppa peruuntui
- 19.3. Google: Viacom väärensi videoita näyttämään varastetuilta
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Yle valittaa Digita-päätöksestä
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 19.3. Pimennä ikkunat, jos haluat iPad-kehittäjäksi
- 19.3. Microsoft rukkaa Windows 7:ää maltilla
- 19.3. Microsoft kiihdytti kilpailevan selaimen latauksia
- 19.3. Yle valittaa Digita-päätöksestä
- 19.3. Nokia ei ole enää luotetuin brändi kaikkialla Euroopassa
- 19.3. Palmin näkymät eivät vakuuttaneet
- 19.3. HTC tyrmää Applen patenttisyytökset
- 19.3. Suomi ja Venäjä panevat kuriin itärajan puheluita
- 19.3. Venäläinen rickroll leviää maailmalla
- 19.3. Facebook ja mokkula paljastivat mafian tappajan
- Kommentoiduimmat
RSS-feedit
Seuraa Digitodayn kaikkia uutisia tai vain tiettyä osiota RSS:llä.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Osakesijoittajan menestyksen salaisuus: vakoiluohjelma 16:26
- Roskaposti jyskyttää täydellä höyryllä 15:26
- Krakkeri sai sata autoa tööttäämään 13:35
- Salasanoja varastetaan Facebookin nimissä 12:11
- Verkkokortti altistaa HP:n tietokoneita pahanteolle 10:08
- Luottaisitko sinä näihin sähköposteihin? 15:27
- Venezuelan presidentti tulistui vapaalle internetille 13:14
- Twitter seuloo vaaralliset verkko-osoitteet 11:27
- Lisää
-
228 e
HP Z600 (2 x Xeon E5530, 6 Gt, 500 Gt, Win Vista Business ja WinXP), keskusyksikkö
-
26 e
Apple iMac (Intel Core i5 2,66 GHz, 4 Gt, 1 Tt, 27", OS-X), pöytäkone
-
25 e
ASUS EeeBox PC B202 (Atom N270, 1 Gt, 160 Gt, WinXP), keskusyksikkö
-
17 e
Fujitsu Esprimo P5730 (Celeron Dual Core E3200, 4 Gt, 250 Gt, Win 7 Professional), keskusyksikkö
-
15 e
MSI WindBox II (Atom N270, 2 Gt, 160 Gt, WinXP), keskusyksikkö
Kommentit (21)
Eipä kyllä niin, että tässä varsinaisesti olisi uutta. Aikanaanhan nämä lisäosat oli mukava tapa saada spywarea käyttäjien koneisiin ja tuntuuhan näistä suosituista laajennuksista (kuten Quicktime) löytyvän vähän väliä reikiä.
Ratkaisuksi käyttöjärjestelmä/selain jolle ei saa lisäosia, suojattu Windows (vaikka Vista + UAC) vai järjen käyttäminen? Mene ja tiedä.
Eipä kyllä niin, että tässäkään varsinaisesti olisi mitään uutta.
Mozillalla on muistaakseni tekeillä mokkula, joka varoittaa käyttäjää jos joku yleisistä plugineista flashit, javat tms. ei ole ajan tasalla.
Vaikka lehdellä ei tietenkään ole mitään velvollisuutta jatkaa asian tutkimista, niin tällaisena tavallisena netin amatöörikäyttäjänä esitän, että IT-tekniikkaan erikoistuneessa lehdessä (kuten Digitoday on) julkaistaisiin ns. musta lista niistä ohjelmista ja erityisesti laajennuksista, joita täytyisi nyt varoa.
Vaikka meidän käyttäjien täytyy luottaa niihin yrityksiin joilta olemme ostaneet koneillemme tietoturvan (itselläni on Panda) niin myös oma aktiivisuutemme ongelmien suhteen on kuitenkin enemmän kuin suositeltavaa.
Firefoxilla taas automaattinen päivitys toimii myös kolmannen osapuolen selainlaajennuksille joihin tulee tietoturvapäivityksiä sitä mukaan kun niitä löytyy.
Ja Firefoxin (Pluginit + Active X siinäkin)