Image Image Image Image Image Image Image Image Image Image

Kun viranomaiset vaativat heikkoa suojausta: Androideissa ja Applen laitteissa vakava haavoittuvuus

(Mainos: Moi Mobiililta 100 megabitin 4G-liittymä vain 6 €/kk tai rajattomalla datasiirrolla 18 €/kk! Tutustu ja tilaa edullinen Moi-liittymä nyt tästä!)

HTTPS salausTutkijat ovat löytäneet vakavan haavoittuvuuden, joka koskee Applen selaimia sekä Android-laitteita. Haavoittuvuus on ollut olemassa jo toistakymmentä vuotta, mutta se nousi esille vasta hiljattain.

”FREAK” (Factoring attack on RSA-EXPORT Keys) on nimi vialle, joka juontuu 1990-luvun amerikkalaisviranomaisten määräyksestä, jonka mukaan yhdysvaltalaisyhtiöt eivät saaneet varustaa ulkomaille myytäviä laitteita kuin enintään 512-bittisellä suojauksella. Määräys on sittemmin poistunut, eivätkä monet uskoneet kyseistä heikkoa suojausta enää käytettävän. Tutkijat kuitenkin huomasivat, että muun muassa useat yhdysvaltojen viranomaisten verkkosivut sisälsivät haavoittuvuuden, joka mahdollisti heikon suojauksen hyväksikäytön. Tutkijoiden mukaan yli kolmannes kaikista 14 miljoonasta internetin suojatusta verkkosivustosta oli haavoittuvaisia.

Ongelma liittyy verkkosivujen salaukseen, joka on mahdollistanut ”mies välissä” -hyökkäyksen. Haavoittuvuuden vuoksi verkkosivut on voitu pakottaa käyttämään heikkoa salausta, joka saadaan murrettua muutamassa tunnissa, ja tämän jälkeen hyökkääjä pääsee käsiksi käyttäjän ja verkkosivuston väliseen liikenteeseen ja voi kaapata tietoja, kuten salasanoja, itselleen.

Ongelma koskee Applen laitteiden lisäksi isoa osaa Android-laitteista. Googlen oma Chrome-selain ei ole FREAK-haavoittuvainen, mutta useiden Android-laitteiden oma oletusselain on. Google kertoo lähettäneensä paikkauksen laitevalmistajille, ja nyt on kiinni laitevalmistajista, toimittavatko nämä päivityksen puhelimiinsa. Apple on ilmoittanut, että haavoittuvuuden korjaava päivitys iOS- ja OS X -laitteille tulee ensi viikolla.

FREAK toimii esimerkkinä siitä, miten viranomaisten vaatimukset urkkimismahdollisuuksista voivat vaikuttaa kaikkiin tietoverkkojen käyttäjiin. Viranomaiset Yhdysvalloissa ovat viime aikoina harmitelleet esimerkiksi Applen iMessage-palvelussa käytettyä salausta, joka ei anna viranomaisille mahdollisuuksia urkkia käyttäjien viestejä. Viranomaiset yrittävät estää liian tehokkaan salauksen käytön ja vetoavat esimerkiksi terrorismiin ja kidnappauksiin.

(Mainos: Lataa nyt ilmainen e-kirja tai äänikirja Elisa Kirjasta. Valitse oma kirjasi hintaan 0 € tästä!)

 

Seuraa Mobiili.fitä

Mainos: Nopea 4G-liittymä puhelimeen vain 6 € / kk. Lue kokemuksia Moi Mobiilista

Kommentoi

Kommentit

  1. AndroidWP

    Applen käyttis on nyt muutenkin reikäisin
    Kaikista, korjauspäivitys ei muuta tee kun syö muistia
    Joten miksi edes julkaista sellaista.
    Eihän omenaa ole ennenkään turvallisuus kiinnostanut

    • kk

      Taitavasti te trollit poimitte kaikissa medioissa tuosta uutisesta pelkän Applen.

      • Niko

        Johtunee varmaan siitä, että Applen laitteiden myyntivalttina on valheellisesti pidetty sen tietoturvaa. Siksi sen illuusion häviämistä on ehkä ylikorostetusti muistutettu. Tosin toisen sivuston mukaan tämä ongelma koskee ennen kaikkea Applen laitteita.
        Hieman yllättävää, että tämä ei koske kolmatta amerikkalaista yritystä, eli teknologiajätti Microsoftia.

        • Pukki...

          Windowsille löytyy maailmassa eniten viruksia & haittaohjelmia joten ihan hyvä että sentään tämä on mennyt ohi :)
          Macille varsinaisia viruksia ei edelleenkään ole olemassa. Mobiilipuolella taas Androidille tehdään n. 90-96% kaikista haittaohjelmista. OS X:lle iOS:lle joutuu edelleenkin asentamaan haittaohjelmat tieten tahtoen ihan itse UNIXin ansiosta.

          • Maw83

            Tottakai haittaohjelmat asennetaan ITE :D kyse olikin aukoista

        • kk

          Kyllä Applen tietoturva on vielä kaukana valheellisesta ja illuusiosta. Kuten Pukki tuossa jo mainitsi, niin todellisten uhkien määrä iOS:lle ja Mac OS X:lle on hyvin pieni ja niiltäkin vähiltä on kokolailla turvassa jos vähänkään käyttää järkeä.

          Perusteletko miten ongelma koskee ”erityisesti” Applen laitteita?

  2. Tuollahan tuota voi käydä itse kokeilemassa:

    https://freakattack.com/

    IE 11: Good News! Your browser appears to be safe from the FREAK attack.

    Safari: Warning! Your browser is vulnerable to the freak attack. It can be tricked into using weak encryption if you visit a vulnerable website. We encourage you to update your browser right away.

    Chrome: Warning! Your browser is vulnerable to the freak attack. It can be tricked into using weak encryption if you visit a vulnerable website. We encourage you to update your browser right away.

    FF:??

  3. https://freakattack.com/vulnerable.txt

    Suomalaisia sivustoja joissa päivittämtön SSL/TSL komponentti ( The Freak Attack SSL/TLS Vulnerability ) löytyy tuosta yli 100 kpl

Tuoreimmat jutut