Apple-käyttäjätunnukset olivat vaarassa – aukko korjattiin nopeasti (päivitetty)

Kuvankaappaus Apple ID -sivustolta

Päivitys 23.3.2013 klo 9.30: Applen salasanan palautussivulta paljastui eilen iltana aukko, joka mahdollisti kenen tahansa helpon salasanan vaihdon. The Verge kertoi asiasta ensimmäisenä Suomen aikaa 22.42. Jo tunnin sisällä Apple oli ottanut salasanan palautussivun alas.

Yön aikana Suomen aikaa Apple korjasi ongelman ja nyt salasanan palautussivu on jälleen turvallisena takaisin käytössä. Alla aiempi juttumme aiheesta eilisillalta.

—

Apple ID:t eli Applen kaikkien palveluiden yleiset käyttäjätunnukset ovat vaarassa tuoreen tietoturva-aukon vuoksi. Asiasta kertoo The Verge.

The Vergen mukaan tapa, jolla toisen henkilön Apple-käyttäjätunnuksen salasanan voisi muuttaa on niin yksinkertainen, että lähes kuka tahansa pystyisi sen suorittamaan. The Verge kertoo myös itse vahvistaneensa tietoturva-aukon kokeilemalla. Tarkemmat ohjeet sisältävälle sivustolle The Verge ei linkitä.

Aukko löytyy Applen omalta salasanan unohdussivulta. Tietämällä ainoastaan toisen käyttäjän sähköpostiosoitteen sekä syntymäpäivän on kellä tahansa mahdollisuus vaihtaa tämän Apple ID -salasanan. Aukkoa kerrotaan hyödynnettävän kopioimalla osoitepalkkiin unohdussivulla oltaessa tietty tarkemmissa ohjeissa annettu teksti.

Uusi vakava aukko paljastui vain päivä sen jälkeen, kun Apple kertoi tuovansa mahdolliseksi aiemmin muun muassa Googlen tilistä tutun mahdollisuuden kaksiportaiseen käyttäjätunnistukseen. Sen käyttöönoton jälkeen uusilla laitteilla sisäänkirjauduttaessa kirjautuminen vahvistetaan puhelimeen lähetettävällä koodilla.

Kaksiportainen kirjautuminen suojaisi myös tuoreelta aukolta, mutta valitettavasti mahdollisuutta sen käyttöönottoon ei näytettäisi vielä tuodun Yhdysvaltojen ulkopuolelle – tai ei ainakaan kaiken kattavasti Suomeen. Lisäksi joka tapauksessa sen käyttöönotto näyttäisi myös sisältävän kolmen päivän odotusajan.

The Vergen neuvo Apple-käyttäjille onkin toistaiseksi hämätä hyökkääjiä vaihtamalla Applen tiedoista löytyvä syntymäaikansa vääräksi. Näin voi tehdä Applen tämän sivun kautta Password & Security -kohdan alta.

Apple ID -käyttäjätunnuksen avulla aukon hyväksikäyttäjä, joka salasanan muuttamalla saisi pääsyn tilille, pääsisi käsiksi moniin eri tietoihin. Näitä voisivat olla käyttäjän sähköpostit, kaikki synkronoidut kalenteri- ja muistiinpanotiedot ja niin edelleen. Lisäksi mahdollista olisi aiheuttaa vähintäänkin harmia tekemällä ostoksia Applen sovellus- ja sisältökaupoissa Apple ID:een liitetyn luottokortin laskuun.

Viime aikoina mobiilimaailmassa esillä ovat laajasti olleet Applen ja Samsungin laitteista löytyneet pääsykoodien ohitusmahdollisuudet. Niiden vakavuutta rajoittaa se, että ohittajan pitäisi ensin saada itse laite omiin käsiinsä. Tästä näkökulmasta löytynyt uusi Applen käyttäjätunnusaukko on paljon vaarallisempi ja vakavampi asia.

—

Päivitys: Applen salasanan unohdus/palautussivu on poistettu käytöstä ”huoltotoimenpiteiden” vuoksi. Apple selvittänee ratkaisua tietoturva-aukkoon parhaillaan.

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla