TIETOTURVA
Henri Laakso, Tietoviikko, 27.7.2012, 16:23Applen tietoturva kuin kaksiteräinen miekka - "jos yhden sovelluksen pystyy hakkeroimaan, pystyy loputkin"
Tietoturvatutkija Jonathan Zdziarski on esitellyt iOS-sovellusten hakkerointia parhaillaan meneillä olevassa Black Hat -hakkerikonferenssissa, kirjoittaa uutissivu Cnet.
Zdziarskin mukaan iOS-sovelluskehittäjät eivät nykyään mieti kovin tarkkaa tietoturvaa alustalla. Tämä johtuu suurilta osin siitä, että kehittäjät luottavat iOS:n Keychain-salasanajärjestelmään ja runtime-ympäristöön. Keychain tallentaa käyttäjän salasanat ja muut turvallisuuteen liittyvät tiedot ja salaa ne.
”Kuka tahansa voi nykyään kiertää salauksen ilmaisten avoimen lähdekoodin työkalujen avulla”, sanoo Zdziarski Cnetin mukaan. Tutkijan mukaan salaus on ollut murrettuna jo kaksi vuotta.
Tietoturvatutkija osoitti puheenvuorossaan myös, kuinka krakkeri ei edes tarvitse tunnussanaa iPhonen salauksen rikkomiseen. Jos krakkeri saa uhrin iOS-laitteen haltuunsa, hän pystyy ajamaan pieniä koodinpätkiä tietokoneeltaan lukittuun laitteeseen. Koodipätkät jäävät valmiustilaan odottamaan, että laitteen omistaja tulee ja avaa lukituksen, jolloin tiedostojärjestelmän salaus purkautuu ja haitallinen koodi pääsee järjestelmään.
”Jos pystyy hakkeroimaan yhden sovelluksen, pystyy murtamaan loputkin”
”Suurin osa kehittäjistä ei kytke salausta sovelluksiinsa, ja useimmat käyttäjät käyttävät vain nelinumeroista pin-koodia tai yksinkertaista salasanaa lukituksenaan”, Zdziarski kertoo. Tutkija jatkaa, että vaikka laitteen käyttöjärjestelmä voidaan suojata pin-koodilla, laitteen tietoturvataso olettaa, että iOS:ia ei voida hakkeroida.
Zdziarski huomauttaakin, että jos yhden sovelluksen pystyy hakkeroimaan, pystyy hakkeroimaan loputkin sovellukset.
Cnet kertoo tutkijan näyttäneen, kuinka hän pystyy purkamaan OneSafe-nimisen sovelluksen salauksen yhdellä koodinpätkällä. OneSafe on työskennellyt Zdziarskin kanssa korjatakseen ongelman. Tutkija kertoo kuitenkin, että on olemassa monia sovelluksia, mukaan lukien luottokorttia käyttäviä sovelluksia, joiden turvallisuus on paljon huonompi.
Zdziarskin esittelemät tilanteet ovat erittäin huolestuttavia, mutta ne vaativat myös krakkerilta paljon taitoja.
Jotta pystyy hakkeroimaan puhelimen sovellukset, pitää henkilön saada uhrin iPhone tai iPad käsiinsä, joka ei tietenkään ole kovin vaikeaa. Toiseksi krakkerin pitää löytää ja hyödyntää iOS-haavoittuvutta, jota Apple ei ole korjannut. Tämä voi olla erittäin haastavaa, sillä Apple korjaa käyttöjärjestelmänsä turva-aukot varsin hyvin, mutta ei kuitenkaan mahdotonta.
Silti tietoturvatutkija pelkää, että tästä voi tulla vakava ongelma, koska iPhonet ja iPadit kasvattavat suosiotaan. Varsinkin iOS-laitteiden käyttö työympäristössä ja valtion käytössä, voivat tutkijan mukaan olla vakava tietoturvariski.
Suljettu käyttöjärjestelmä suurin ongelma
Zdziarskin mukaan ongelma ei ole niinkään Applen tietoturva, vaan iOS-käyttöjärjestelmän monokulttuuri. Käyttöjärjestelmän monokulttuurista on totta kai etuja, kuten hyökkäystapojen vähentyminen ja vähemmän turva-aukkoja, mutta se tarkoittaa myös sitä, että jos joku voi hakkeroida yhden iOS-laitteen, pystyy ne kaikki hakkeroimaan. Vastaavaa ongelmaa ei ole Androidilla, sillä alusta on niin pirstaloitunut, että tietty hyökkäystekniikka ei välttämättä toimi kuin yhdellä Android-versiolla.
Aikas innokkaita hakkereita nykyään löytyykin, kun win ympäristössä riittää pelkästään sivun tai mainoksen klikkaaminen saastuttamaan koneen.
Sikälikin jännää, että tässäkin jutussa taas niin kovin kauniisti korostui ajatus siitä, missä se tietoturva oikeasti majailee - sehän maijailee siinä laitteistaan huolehtivassa käyttäjässä itsessään.
Ilmoituksesi käsitellään seuraavan työpäivän kuluessa.