Taloussanomat

Applella paha bugi: Henkilöllisyyden pystyi varastamaan

Kuva: REUTERS/Truth Leem

21.1.2016 12:22 Applen iOS-alustassa oli ilmeisen kinkkinen ja vakava haavoittuvuus. Evästeiden käsittely petti ikävällä tavalla.

Apple korjasi iOS-käyttöjärjestelmästään haavoittuvuuden, joka liittyi niin kutsuttujen evästeiden hallintaan. Evästeet ovat pieniä tiedostoja, joita käytetään nettisurffailussa tyypillisesti käyttäjän seuraamiseen tai palvelun käytön helpottamiseen.

Haavoittuvuuden havaitsi israelilainen tietoturvayhtiö Skycure, joka kertoo asiasta seikkaperäisesti blogissaan. Aiheesta kirjoittaa myös Ars Technica. Uhkana oli uhrin henkilöllisyyden varastaminen.

Ongelma liittyi siihen, miten iOS käsittelee evästeitä tilanteissa, joissa käyttäjä kytkeytyy tyypilliseen wlan-verkkoon vaikkapa hotellissa tai lentokentällä. Käyttäjälle esitetään kirjautumisikkuna, jolla he voivat päästä verkkoon sisälle upotetun selaimen kautta. Firma huomasi, että upotettu selain jakoi evästeitä iOS:n natiivin Safari-selaimen kanssa tavalla, joka vaarantaa käyttäjät.

Hyökkääjä olisi voinut esimerkiksi luoda julkisen wlan-verkon ja odottaa uhreja. Sitten hän olisi voinut muun muassa varastaa heidän evästeitään ja siten heidän henkilöllisyytensä käytettäväksi valitulla verkkosivulla.

Uhrit olisi myös voinut saada kirjautumaan hyökkääjän hallitsemalle tilille ja heille olisi voinut syöttää haitallista JavaScript-koodia.

Apple korjasi ongelman osana iOS 9.2.1 -päivitystä. Skycuren mukaan haavoittuvuus oli ilmeisen haastava, sillä yhtiö kertoi aukosta Applelle jo kesäkuussa 2013.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (22)

Sivut: 1 2 3
EdellinenSeuraava

Anonyymi
Jälleen kerran Applen taattua maailman reikäisimmän ja turvattomimman käyttöjärjestelmän laatua. Kyllä applefaneja taas itkettää.
Anonyymi: apple_rommaa 21.1.2016 12:35

Anonyymi
"heille olisi voinut syöttää haitallista JavaScript-koodia"

Yök, miltähän mahtaa maistua js-koodi?
Anonyymi: asdfka 21.1.2016 12:45

Anonyymi
itsekin löysin erään haavoituvudeen koskien safari selainta mutta reagoiko apple tähän mitenkään?
Anonyymi: it899 21.1.2016 12:48

Anonyymi
Eikös tuo Skycure ole selvitystilassa? Mitähän tuokin vasari ituhippi oikein itkee?
Anonyymi: outoa_touhua 21.1.2016 12:50

Anonyymi
Pieniä on iPhone käyttäjien murheet. Istuin eilen samassa pöydässä kahden Android käyttäjän kanssa, toiselta oli HTC One M9 laitettu rautoihin viikon käytön jälkeen. Toiselta oli viime kesänä tiltannut Samsung Galaxy S4. Molemmissa sama vika, laite oli kaapattu jollain tavalla, korjauksena laitteen tuhoaminen. Onneksi olivat firman puhelimia.
Anonyymi: Janski66 21.1.2016 13:15

Anonyymi
Jälleen kerran Applen taattua maailman reikäisimmän ja turvattomimman käyttöjärjestelmän laatua. Kyllä applefaneja taas itkettää.
Viisaita ajatuksia jälleen! Mutta kyllä minuakin ivihaajana itkettää pahisten saamattomuus: tätäkään bugia ei varmaan kukaan hyödyntänyt. Miksi nämä reiät jäävät käyttämättä? Eihän nämä nyt mitään teoreettisia uhkia voi olla, vaan ihan hirvittäviä todellisia turva-aukkoja.
Anonyymi: Järkytys 21.1.2016 13:19

Anonyymi
Pieniä on iPhone käyttäjien murheet. Istuin eilen samassa pöydässä kahden Android käyttäjän kanssa, toiselta oli HTC One M9 laitettu rautoihin viikon käytön jälkeen. Toiselta oli viime kesänä tiltannut Samsung Galaxy S4. Molemmissa sama vika, laite oli kaapattu jollain tavalla, korjauksena laitteen tuhoaminen. Onneksi olivat firman puhelimia.


Tietoturva on useimmin korvien välissä oleva kuin ohjelmisto-/laitetekninen asia.
Anonyymi: sillai_kai 21.1.2016 13:37

Anonyymi
Jälleen kerran Applen taattua maailman reikäisimmän ja turvattomimman käyttöjärjestelmän laatua. Kyllä applefaneja taas itkettää.Viisaita ajatuksia jälleen! Mutta kyllä minuakin ivihaajana itkettää pahisten saamattomuus: tätäkään bugia ei varmaan kukaan hyödyntänyt. Miksi nämä reiät jäävät käyttämättä? Eihän nämä nyt mitään teoreettisia uhkia voi olla, vaan ihan hirvittäviä todellisia turva-aukkoja.


Sulla on varmaan faktaa siitä että onko sitä käytetty hyväksi. Vai onko sulle tultu kertomaan jos sitä käytetään?
Anonyymi: iReikäjuusto 21.1.2016 16:00

Anonyymi
Taas yksi syy olla ostamasta Applen tuotteita. Miksi Apple ei osaa tehdä mitään oikein.
Anonyymi: jjgtvkkv 21.1.2016 16:09

Anonyymi
Pieniä on iPhone käyttäjien murheet. Istuin eilen samassa pöydässä kahden Android käyttäjän kanssa, toiselta oli HTC One M9 laitettu rautoihin viikon käytön jälkeen. Toiselta oli viime kesänä tiltannut Samsung Galaxy S4. Molemmissa sama vika, laite oli kaapattu jollain tavalla, korjauksena laitteen tuhoaminen. Onneksi olivat firman puhelimia.

Tietoturva on useimmin korvien välissä oleva kuin ohjelmisto-/laitetekninen asia.


Tässä tapauksessa ei ole, molempien syypukiksi selvesi tekstiviestit, selitys oli kyllä hieman pitempi, mutta periaatteessa kuka tahansa olisi voinut semmoisen saada.

Mielenkiinnolla odotan Kiinan iPhone myyntilukuja, siellä asuva insinöörikaveri mainitsi viikko pari sitten, että IKEAssa käydessään hän pisti merkille, että seitsemän kymmenestä käytti iPhonea, jonottaessa on kuulema hyvä laskea ja tehdä vertailuja. Androidista on tullut köyhien puhelin, vähänkään rahakkaammat eivät uskalla niitä enää käyttää.
Anonyymi: Janski66 21.1.2016 16:15
Sivut: 1 2 3
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Kehitä Nokialle S40-sovellus – voita 50 000 euroa

28.06.2011 Nokia on julkistanut kuluttajille ja kehittäjille suunnatun kilpailun, jolla matkapuhelinjätti etsii sovellusideoita S40-alustaa käyttäville matkapuhelimille. Sovelluskehittäjät voivat voittaa Create for Millions -kilpailussa 50 000 euroa. Idearikkaimmat kuluttajat saavat matkan Lontooseen.


2013

Kolme vuotta sitten

Jytinää Microsoftin pilvessä: Jo 8,5 biljoonaa kohdetta

28.06.2013 Microsoftin valtavaksi kasvanut Azure-pilvialusta palvelee 299 miljoonaa Skype-asiakasta ja 250 miljoonaa SkyDrive-asiakasta.

.