Nettiselaimen lisäosa on tietoturvariski
Selainlaajennusten bugit tarjoavat tietomurtautujille uuden väylän kotikoneeseen.
Kuva: Rosana Prada (ötökkä)
Lisenssi: Creative Commons Attribution ShareAlike 2.0
16.1.2008 13:52 Nettiselaimiin ladattavista laajennuksista on tullut viime kuukausina tietomurtautujien kannalta houkuttelevia kohteita. Itse selainten tietoturvaongelmiin on puututtu, mutta moni selainlaajennuksen tekijä laiminlyö tietoturvan ajattelemisen ohjelmointivaiheessa.
Selainten toiminnallisuutta parantavien laajennuspalikoiden ohjelmointivirheet tarjoavat yhä useammin tietomurtautujille eli kräkkerille oikopolun surffaajan koneelle. Näin arvioivat suomalaiset tietoturva-asiantuntijat.
– Kyllä kräkkerit tutkivat näitä suosituimpia laajennuksia, sanoo tietoturva-asiantuntija Pekka Sillanpää Nixusta.
Selainlaajennukset ovat nykyisin suosittuja, sillä nettisurffaajat arvostavat nopeutta ja tehokkuutta. Siksi verkkoselaimista suunnitellaan kevyitä. Ajatuskulku on seuraava: massoille jaettavaan selaimeen liitetään vain välttämättömät osat ja lisäominaisuuksia kaipaavat voivat muokata selaintaan lisäämällä siihen laajennuksia.
Esimerkiksi Mozilla Firefox -selaimeen voi asentaa vaikkapa Delicious Bookmarks -laajennuksen, joka integroi selaimen Delicious-linkinjakopalveluun. Internet Explorer -selaimen käyttäjä voi puolestaan asentaa esimerkiksi Google Desktop- tai QuickTime-laajennuksen.
Samalla kun laajennus parantaa selaimen toiminnallisuutta, se hajauttaa vastuun tietoturva-arkkitehtuurista.
– Hyökkäykset selainlaajennuksia kohtaan ovat varmasti yleistymässä, sillä suositut laajennuspalikat muuttuvat houkutteleviksi kräkkerin silmissä, Sillanpää sanoo.
Aluksi kräkkerit tunkeutuivat kotikoneelle Windowsin tietoturva-aukkojen kautta. Sitten kräkkerit siirtyivät hyväksikäyttämään selainten ongelmia. Lopulta kiinnostus kohdistui nettiselainten laajennuksiin eli extension-, plugin- ja add-on-palikoihin, selittää tutkimusjohtaja Mikko Hyppönen F-Securelta.
– Selainlaajennuksien aukkoja käyttävät hyökkäykset ovat yleistyneet aivan viime kuukausina, Hyppönen sanoo.
Kräkkerin kannalta selainlaajennus on kiinnostava kohde, koska se ei yleensä päivity yhtä säännöllisesti ja tiheästi kuin itse selain tai käyttöjärjestelmä. Säännöllisten tietoturvapäivitysten avulla esimerkiksi Mozilla Foundation ja Microsoft pystyvät hillitsemään selaimiensa tietoturvaongelmia.
– Koska itse olet viimeksi päivittänyt selaimesi laajennukset? Hyppönen kysyy.
Laajennukset tarjoavat yleensä paljon avonaisemman väylän käyttäjän koneelle kuin itse selain. Siinä missä Mozilla Firefox suorittaa verkkosivuilla olevia skriptejä sivuston tasolla, laajennukset asettuvat matalammalle tasolle osaksi Firefoxia käyttäen hyväkseen chrome-protokollaa. Tämä tekee esimerkiksi näppäimistön lyöntejä nauhoittavan keylogger-kuuntelijan tekemisestä helpompaa.
Ongelmalliseksi tilanteen tekee myös se, että monet ohjelmat ja laitteet, kuten kännykät tai digitaalikamerat, asentavat selainlaajennuksia käyttäjän huomaamatta. Esimerkiksi Applen QuickTime-videolaajennuksesta on paljastunut useita tietoturva-aukkoja viimeisen vuoden aikana. Moni käyttäjä on ollut kuitenkin autuaan tietämätön koko QuickTime olemassaolosta koneellaan.
Hyppönen ennustaa tilanteen laukeavan perinteisen kaavan mukaisesti: aluksi hyökkäysten määrä lisääntyy, sitten ongelmaan reagoidaan ja kehitetään ratkaisu. Hän ennustaa, että selainvalmistajat ottavat tulevaisuudessa vastaan tietoja kolmansien osapuolien tekemien laajennusten tietoturvaongelmista ja varoittavat laajennusten käyttäjiä selaimen kautta.
Aleksi Moisio
aleksi.moisio@sanoma.fi
Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.
- Digitodayn tuoreimmat uutiset.
- 16:21 Siri opiskelee kiinaa ja venäjää
- 15:55 Peliskene poimi presidentin palkinnon
- 14:20 Google: Näytä surfailusi, saat rahaa
- 14:16 Skimmaajat teettivät erikoislaitteita Suomen oloihin
- 13:19 Samsungilta ei julkistuksia Barcelonassa
- 13:05 Ciscon tulos parani reippaasti
- 11:02 Angry Birds laskeutui Helsinki-Vantaalle
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 09:46 Apple myy vihdoin iPhone 4S:ää Kiinassa
- 09:11 Sadan tonnin sakot kuluttajien harhauttamisesta
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 00:22 Windows 8:n testiversio ilmestyy karkauspäivänä
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 8.2. Applen televisio voi saada liikeohjauksen
- 8.2. Brittilehti sekaantui sähköpostien vakoiluun
- 8.2. Tieto etsii Nokialle korvaajaa Android-töistä
- 8.2. Xbox nousi vuoden ostetuimmaksi
- 8.2. @450-verkko vaihtaa tekniikkaa
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Kiinassa tarjolla miljardien eurojen verkkourakat
- Uusimmat
- 48h luetuimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 6.2. Nokia Lumia saa valkoisen värin
- 7.2. Belle-päivitys tuli viimein Symbianiin
- 8.2. Kaksi minuuttia Iron Skyta – Elokuva "täynnä vastoinkäymisiä"
- 6.2. Riita roihahti Android Marketin 15 minuutin palautusajasta
- 6.2. Suosittu piraattisivusto antautui
- 6.2. Google pyyhki Atlantiksen kartalta
- 8.2. Nokia julkistaa huippupuhelimen Barcelonassa
- Luetuimmat
- 48h suositelluimmat kaikista uutisista.
- Suositelluimmat
- 48h kommentoiduimmat kaikista uutisista.
- 8.2. Nokia-pomo: Puhelimet ovat Designed in Finland
- 6.2. Nokia Lumia saa valkoisen värin
- 10:22 Yllättävä ongelma: iPhone 4S ei toimi kiinalaisten sim-kortilla
- 8.2. Nokian Salon tehdasta on ajettu alas pitkään
- 8.2. Applen televisio voi saada liikeohjauksen
- 6.2. Pelkkä kortin vilautus riittää kaupan kassalla
- 07:00 Microsoft tarjoaa Lumia 800 -kimppua ystävänpäivänä
- 6.2. Apple hakkasi Nokian ennätyksen
- 7.2. Nokia kertoo miten käy Salon tehtaan
- 7.2. Microsoft poistaa start-napin
- Kommentoiduimmat
Uutisviikko
Mitä viikolla on tapahtunut, mikä puhuttanut eniten? Koko viikon uutiset.
Palautetta?
Lähetä risut, ruusut ja uutisvinkit toimitukselle.
Uusimmat uutiset
- Skimmaajat teettivät erikoislaitteita Suomen oloihin 14:16
- Brittilehti sekaantui sähköpostien vakoiluun 15:46
- Suomalaiset taitavat tietoturvan hopean arvoisesti 21:47
- Tietoturvayhtiöltä yritettiin kiristää lunnasrahoja 13:15
- Äidit käyvät imettämällä Facebookia vastaan 09:21
- Suosittu piraattisivusto antautui 13:02
- Hakkerit veivät tietoa VeriSignin palvelimilta 10:08
- Google palkkasi portsarin Android Markettiin 09:09
- Lisää
Digiyesterday
Viisi vuotta sitten
Rakennuksen elinkaari sähköisesti seurantaan
09.02.2007 Ympäristöministeriö, Suomen kuntaliitto sekä Espoon, Vantaan, Hyvinkään ja Turun kaupungit ovat luoneet TietoEnatorin tukemana kuntien rakennusvalvonnan sähköisen asioinnin, arkistoinnin ja asianhallinnan tavoitetoimintamallin.
Kolme vuotta sitten
“Verkkosankari” esti webcam-itsemurhan
09.02.2009 New Jerseyssä asuva mies esti kalifornialaisen ystävänsä itsemurhan ilmoittamalla verkkokeskusteluista poliisille.
Taloussanomat
- Vihdoinkin, Kreikka: Sopu säästöistä syntyi 16:50
- "Finnair hakee kumppania suuresta joukosta yhtiöitä" 14:43
- Tänne tulevat uudet Prismat 14:48
- Hautala Ylelle: Valtio voi luopua enemmistöstä Finnairissa 17:11
- Draghi: Epävarmassa taloudessa yhä riskinsä 17:15
- Tätäkö keskusta pelkää – turhaan vai? 15:47
- Tasan vuosi – euribor laski taas 1,70 prosenttiin 12:33
- Asunnon ostaja, älä luule – yritä selvittää 06:01
- Pepsi antaa potkut 8 700:lle 17:34
- Nokia Siemensin kilpailija vähentää jopa 1800 17:20
- » Taloussanomat.fi
-
117 e
MSI WindBox II (Atom N270, 2 GB, 160 GB, Ei käyttöjärjestelmää), keskusyksikkö
-
96 e
Asus EeeTop PC ET2400INT-B013E (Core i5-650, 4 GB, 1 TB, 23,6, Win 7 Home Premium), keskusyksikkö
-
56 e
Lenovo ThinkStation S20 (Xeon W3550, 4 GB, 500 GB, Win 7 Professional), keskusyksikkö
-
52 e
Fujitsu Esprimo Q1510-Q02 (Core i3-350M, 4 GB, 320 GB, Win 7 Home Premium), keskusyksikkö
-
50 e
Asus CG8350 (Core i7-2600, 12 GB, 1 TB, Win 7 Home Premium), keskusyksikkö
-
-355 e
-
-260 e
LG A520 (Core i7-2630QM, 6 GB, 15,6", Win 7 Home Premium), kannettava tietokone
-
-238 e
-
-238 e
-
-211 e
Kommentit (21)
Eipä kyllä niin, että tässä varsinaisesti olisi uutta. Aikanaanhan nämä lisäosat oli mukava tapa saada spywarea käyttäjien koneisiin ja tuntuuhan näistä suosituista laajennuksista (kuten Quicktime) löytyvän vähän väliä reikiä.
Ratkaisuksi käyttöjärjestelmä/selain jolle ei saa lisäosia, suojattu Windows (vaikka Vista + UAC) vai järjen käyttäminen? Mene ja tiedä.
Eipä kyllä niin, että tässäkään varsinaisesti olisi mitään uutta.
Mozillalla on muistaakseni tekeillä mokkula, joka varoittaa käyttäjää jos joku yleisistä plugineista flashit, javat tms. ei ole ajan tasalla.
Vaikka lehdellä ei tietenkään ole mitään velvollisuutta jatkaa asian tutkimista, niin tällaisena tavallisena netin amatöörikäyttäjänä esitän, että IT-tekniikkaan erikoistuneessa lehdessä (kuten Digitoday on) julkaistaisiin ns. musta lista niistä ohjelmista ja erityisesti laajennuksista, joita täytyisi nyt varoa.
Vaikka meidän käyttäjien täytyy luottaa niihin yrityksiin joilta olemme ostaneet koneillemme tietoturvan (itselläni on Panda) niin myös oma aktiivisuutemme ongelmien suhteen on kuitenkin enemmän kuin suositeltavaa.
Firefoxilla taas automaattinen päivitys toimii myös kolmannen osapuolen selainlaajennuksille joihin tulee tietoturvapäivityksiä sitä mukaan kun niitä löytyy.
Ja Firefoxin (Pluginit + Active X siinäkin)