Lue uutinen mobiilisivustolla

Nettiselaimen lisäosa on tietoturvariski

Selainlaajennusten bugit tarjoavat tietomurtautujille uuden väylän kotikoneeseen.
Kuva: Rosana Prada (ötökkä)
Lisenssi: Creative Commons Attribution ShareAlike 2.0

16.1.2008 13:52 Nettiselaimiin ladattavista laajennuksista on tullut viime kuukausina tietomurtautujien kannalta houkuttelevia kohteita. Itse selainten tietoturvaongelmiin on puututtu, mutta moni selainlaajennuksen tekijä laiminlyö tietoturvan ajattelemisen ohjelmointivaiheessa.

Selainten toiminnallisuutta parantavien laajennuspalikoiden ohjelmointivirheet tarjoavat yhä useammin tietomurtautujille eli kräkkerille oikopolun surffaajan koneelle. Näin arvioivat suomalaiset tietoturva-asiantuntijat.

– Kyllä kräkkerit tutkivat näitä suosituimpia laajennuksia, sanoo tietoturva-asiantuntija Pekka Sillanpää Nixusta.

Selainlaajennukset ovat nykyisin suosittuja, sillä nettisurffaajat arvostavat nopeutta ja tehokkuutta. Siksi verkkoselaimista suunnitellaan kevyitä. Ajatuskulku on seuraava: massoille jaettavaan selaimeen liitetään vain välttämättömät osat ja lisäominaisuuksia kaipaavat voivat muokata selaintaan lisäämällä siihen laajennuksia.

Esimerkiksi Mozilla Firefox -selaimeen voi asentaa vaikkapa Delicious Bookmarks -laajennuksen, joka integroi selaimen Delicious-linkinjakopalveluun. Internet Explorer -selaimen käyttäjä voi puolestaan asentaa esimerkiksi Google Desktop- tai QuickTime-laajennuksen.

Samalla kun laajennus parantaa selaimen toiminnallisuutta, se hajauttaa vastuun tietoturva-arkkitehtuurista.

– Hyökkäykset selainlaajennuksia kohtaan ovat varmasti yleistymässä, sillä suositut laajennuspalikat muuttuvat houkutteleviksi kräkkerin silmissä, Sillanpää sanoo.

Aluksi kräkkerit tunkeutuivat kotikoneelle Windowsin tietoturva-aukkojen kautta. Sitten kräkkerit siirtyivät hyväksikäyttämään selainten ongelmia. Lopulta kiinnostus kohdistui nettiselainten laajennuksiin eli extension-, plugin- ja add-on-palikoihin, selittää tutkimusjohtaja Mikko Hyppönen F-Securelta.

– Selainlaajennuksien aukkoja käyttävät hyökkäykset ovat yleistyneet aivan viime kuukausina, Hyppönen sanoo.

Kräkkerin kannalta selainlaajennus on kiinnostava kohde, koska se ei yleensä päivity yhtä säännöllisesti ja tiheästi kuin itse selain tai käyttöjärjestelmä. Säännöllisten tietoturvapäivitysten avulla esimerkiksi Mozilla Foundation ja Microsoft pystyvät hillitsemään selaimiensa tietoturvaongelmia.

– Koska itse olet viimeksi päivittänyt selaimesi laajennukset? Hyppönen kysyy.

Laajennukset tarjoavat yleensä paljon avonaisemman väylän käyttäjän koneelle kuin itse selain. Siinä missä Mozilla Firefox suorittaa verkkosivuilla olevia skriptejä sivuston tasolla, laajennukset asettuvat matalammalle tasolle osaksi Firefoxia käyttäen hyväkseen chrome-protokollaa. Tämä tekee esimerkiksi näppäimistön lyöntejä nauhoittavan keylogger-kuuntelijan tekemisestä helpompaa.

Ongelmalliseksi tilanteen tekee myös se, että monet ohjelmat ja laitteet, kuten kännykät tai digitaalikamerat, asentavat selainlaajennuksia käyttäjän huomaamatta. Esimerkiksi Applen QuickTime-videolaajennuksesta on paljastunut useita tietoturva-aukkoja viimeisen vuoden aikana. Moni käyttäjä on ollut kuitenkin autuaan tietämätön koko QuickTime olemassaolosta koneellaan.

Hyppönen ennustaa tilanteen laukeavan perinteisen kaavan mukaisesti: aluksi hyökkäysten määrä lisääntyy, sitten ongelmaan reagoidaan ja kehitetään ratkaisu. Hän ennustaa, että selainvalmistajat ottavat tulevaisuudessa vastaan tietoja kolmansien osapuolien tekemien laajennusten tietoturvaongelmista ja varoittavat laajennusten käyttäjiä selaimen kautta.

Aleksi Moisio
aleksi.moisio@sanoma.fi

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kirjoita kommentti

Kommentit (21)

0

0

Nettiselaimiin ladattavista laajennuksista on tullut viime kuukausina tietomurtautujien kannalta houkuttelevia kohteita. Itse selainten tietoturvaongelmiin on puututtu, mutta moni selainlaajennuksen tekijä laiminlyö tietoturvan ajattelemisen ohjelmointivaiheessa.

Digitoday

Lainaa Ilmoita asiaton viesti

# 16.1.2008 14:27

1

0

Näinpä näin. Sääliksi käy varsinkin niitä raukkoja jotka asentelevat kaiken mahdollisen joita esimerkiksi MUUT LAAJENNUKSET haluavat kylkiäisinään laitella :)

Eipä kyllä niin, että tässä varsinaisesti olisi uutta. Aikanaanhan nämä lisäosat oli mukava tapa saada spywarea käyttäjien koneisiin ja tuntuuhan näistä suosituista laajennuksista (kuten Quicktime) löytyvän vähän väliä reikiä.

Ratkaisuksi käyttöjärjestelmä/selain jolle ei saa lisäosia, suojattu Windows (vaikka Vista + UAC) vai järjen käyttäminen? Mene ja tiedä.

Teerooo

Lainaa Ilmoita asiaton viesti

# 16.1.2008 14:27

1

0

Näinpä näin. Sääliksi käy varsinkin niitä raukkoja jotka asentelevat windows/vistan koneelleen.

Eipä kyllä niin, että tässäkään varsinaisesti olisi mitään uutta.

ANTero

Lainaa Ilmoita asiaton viesti

# 16.1.2008 15:08

1

0

Nettiselaimen lisäosa on tietoturvariski

Puhumattakaan siitä, ettei niitä muutenkaan oikein viitsisi asennella/päivitellä. Jos löytyy tarpeellista niin se voisi samantien löytyä ihan suoraan selaimestakin.

-

Lainaa Ilmoita asiaton viesti

# 16.1.2008 15:10

1

0

90% ongelmista on jo ratkaistu jos jättää IE:n käyttämättä.

Joo

Lainaa Ilmoita asiaton viesti

# 16.1.2008 15:13

1

0

Kaikki yleiset pluginit sentään automaattipäivittyy nykyään oletuksena, ellei sitten käytäjä ole tätä estänyt. (Tosin päivitystavassa on joillain vielä kehittämisen varraa). Se on sitten eri asia tuleeko ohjelmistoihin korjauksia riittävän nopeasti.

Mozillalla on muistaakseni tekeillä mokkula, joka varoittaa käyttäjää jos joku yleisistä plugineista flashit, javat tms. ei ole ajan tasalla.

Tsomp

Lainaa Ilmoita asiaton viesti

# 16.1.2008 15:28

1

0

Käyttäkää Operaa. Et tarvitse mitään plugineja koska kaikki mahdollinen perustoiminnallisuus on jo asennuksessa... ja ei ole raskas, päinvastoin, paljon kevyempi käyttää kun perus Firefox. Ja on turvallinen kans. Lataa jo! :D

Faniboy

Lainaa Ilmoita asiaton viesti

# 16.1.2008 16:49

1

0

Moision artikkeli osoittaa erittäin hyvää lehtimiestoimintaa kun tällainen nettiturvallisuuteen liittyvä ongelma tuodaan esiin.

Vaikka lehdellä ei tietenkään ole mitään velvollisuutta jatkaa asian tutkimista, niin tällaisena tavallisena netin amatöörikäyttäjänä esitän, että IT-tekniikkaan erikoistuneessa lehdessä (kuten Digitoday on) julkaistaisiin ns. musta lista niistä ohjelmista ja erityisesti laajennuksista, joita täytyisi nyt varoa.

Vaikka meidän käyttäjien täytyy luottaa niihin yrityksiin joilta olemme ostaneet koneillemme tietoturvan (itselläni on Panda) niin myös oma aktiivisuutemme ongelmien suhteen on kuitenkin enemmän kuin suositeltavaa.

Carlos

Lainaa Ilmoita asiaton viesti

# 16.1.2008 17:13

1

0

kyllä se on niin että nuo internet explorerille yksinomaan tarkoitetut laajennukset ovat vaarassa kun selain ei pidä sisällään niille automaattista päivitystoimintoa.

Firefoxilla taas automaattinen päivitys toimii myös kolmannen osapuolen selainlaajennuksille joihin tulee tietoturvapäivityksiä sitä mukaan kun niitä löytyy.

Janne Granström

Lainaa Ilmoita asiaton viesti

# 16.1.2008 17:50

1

0

90% ongelmista on jo ratkaistu jos jättää IE:n käyttämättä.

Ja Firefoxin (Pluginit + Active X siinäkin)

Affe

Lainaa Ilmoita asiaton viesti

# 16.1.2008 20:27

Sivut: 1 2 3 Edellinen Seuraava

Uutiset

Poliisi: Ajatus ampumisesta tuli vain hieman ennen veritekoa

• Hyvinkään epäilty ampuja poistui kesken illanvieton hakemaan aseita
• Hyvinkään ampumisissa haavoittuneet leikattu – naispoliisi yhä kriittisessä tilassa
• Hyvinkään ampumisista epäiltyä luonnehditaan ujoksi ja hiljaiseksi
• Epäilty ampuja yöllä Facebookissa: "Oli kivaa toverit"