Kun viranomaiset vaativat heikkoa suojausta: Androideissa ja Applen laitteissa vakava haavoittuvuus

Janne Laakso | Julkaistu 4.3.2015, klo 11:03

Twiittaa

(Mainos: Päivän kova puhelintarjous Elisalta: Säästä 100 €. Nokia 8 vain 299 €. Normaalisti 399 €. )

Tutkijat ovat löytäneet vakavan haavoittuvuuden, joka koskee Applen selaimia sekä Android-laitteita. Haavoittuvuus on ollut olemassa jo toistakymmentä vuotta, mutta se nousi esille vasta hiljattain.

”FREAK” (Factoring attack on RSA-EXPORT Keys) on nimi vialle, joka juontuu 1990-luvun amerikkalaisviranomaisten määräyksestä, jonka mukaan yhdysvaltalaisyhtiöt eivät saaneet varustaa ulkomaille myytäviä laitteita kuin enintään 512-bittisellä suojauksella. Määräys on sittemmin poistunut, eivätkä monet uskoneet kyseistä heikkoa suojausta enää käytettävän. Tutkijat kuitenkin huomasivat, että muun muassa useat yhdysvaltojen viranomaisten verkkosivut sisälsivät haavoittuvuuden, joka mahdollisti heikon suojauksen hyväksikäytön. Tutkijoiden mukaan yli kolmannes kaikista 14 miljoonasta internetin suojatusta verkkosivustosta oli haavoittuvaisia.

Ongelma liittyy verkkosivujen salaukseen, joka on mahdollistanut ”mies välissä” -hyökkäyksen. Haavoittuvuuden vuoksi verkkosivut on voitu pakottaa käyttämään heikkoa salausta, joka saadaan murrettua muutamassa tunnissa, ja tämän jälkeen hyökkääjä pääsee käsiksi käyttäjän ja verkkosivuston väliseen liikenteeseen ja voi kaapata tietoja, kuten salasanoja, itselleen.

Ongelma koskee Applen laitteiden lisäksi isoa osaa Android-laitteista. Googlen oma Chrome-selain ei ole FREAK-haavoittuvainen, mutta useiden Android-laitteiden oma oletusselain on. Google kertoo lähettäneensä paikkauksen laitevalmistajille, ja nyt on kiinni laitevalmistajista, toimittavatko nämä päivityksen puhelimiinsa. Apple on ilmoittanut, että haavoittuvuuden korjaava päivitys iOS- ja OS X -laitteille tulee ensi viikolla.

FREAK toimii esimerkkinä siitä, miten viranomaisten vaatimukset urkkimismahdollisuuksista voivat vaikuttaa kaikkiin tietoverkkojen käyttäjiin. Viranomaiset Yhdysvalloissa ovat viime aikoina harmitelleet esimerkiksi Applen iMessage-palvelussa käytettyä salausta, joka ei anna viranomaisille mahdollisuuksia urkkia käyttäjien viestejä. Viranomaiset yrittävät estää liian tehokkaan salauksen käytön ja vetoavat esimerkiksi terrorismiin ja kidnappauksiin.

(Mainos: Päivän kova puhelintarjous Elisalta: Säästä 50 €. Nokia 3 vain 99 €. Normaalisti 149 €. )

 

Twiittaa

WhatsApp

Android Apple FREAK Google iOS

Mainos: Ota Uber käyttöön - tästä kutsukoodilla ilmainen kyyti

Mitä Googlen Hera-projekti tekee Androidille, haulle ja verkkosovelluksille?7.4.2014

Tulevaan huippu-iPhoneen tulossa kasvojentunnistus – tällainen järjestelmä taustalla18.7.2017

Kuukauden myydyimmät: Galaxy J5 jatkaa voittokulkuaan – OnePlus kiinnostaa suomalaisia1.7.2016

Google tutki Samsungin huippupuhelimen – yli 10 vakavaa turva-aukkoa5.11.2015

Mainos: Nopea 4G-liittymä puhelimeen vain 6 € / kk. Lue kokemuksia Moi Mobiilista

Kommentoi

Kirjaudu sisään kommentoidaksesi.

1. 4.3.2015, klo 15:07

   Kirjaudu sisään vastataksesi

   AndroidWP

   Applen käyttis on nyt muutenkin reikäisin
   Kaikista, korjauspäivitys ei muuta tee kun syö muistia
   Joten miksi edes julkaista sellaista.
   Eihän omenaa ole ennenkään turvallisuus kiinnostanut

   • 4.3.2015, klo 15:48

     Kirjaudu sisään vastataksesi

     kk

     Taitavasti te trollit poimitte kaikissa medioissa tuosta uutisesta pelkän Applen.

     • 4.3.2015, klo 19:49

       Kirjaudu sisään vastataksesi

       Niko

       Johtunee varmaan siitä, että Applen laitteiden myyntivalttina on valheellisesti pidetty sen tietoturvaa. Siksi sen illuusion häviämistä on ehkä ylikorostetusti muistutettu. Tosin toisen sivuston mukaan tämä ongelma koskee ennen kaikkea Applen laitteita.
       Hieman yllättävää, että tämä ei koske kolmatta amerikkalaista yritystä, eli teknologiajätti Microsoftia.

       • 4.3.2015, klo 22:10

         Kirjaudu sisään vastataksesi

         Pukki...

         Windowsille löytyy maailmassa eniten viruksia & haittaohjelmia joten ihan hyvä että sentään tämä on mennyt ohi :)
         Macille varsinaisia viruksia ei edelleenkään ole olemassa. Mobiilipuolella taas Androidille tehdään n. 90-96% kaikista haittaohjelmista. OS X:lle iOS:lle joutuu edelleenkin asentamaan haittaohjelmat tieten tahtoen ihan itse UNIXin ansiosta.

         • 7.11.2015, klo 16:35

           Maw83

           Tottakai haittaohjelmat asennetaan ITE :D kyse olikin aukoista

       • 4.3.2015, klo 22:38

         Kirjaudu sisään vastataksesi

         kk

         Kyllä Applen tietoturva on vielä kaukana valheellisesta ja illuusiosta. Kuten Pukki tuossa jo mainitsi, niin todellisten uhkien määrä iOS:lle ja Mac OS X:lle on hyvin pieni ja niiltäkin vähiltä on kokolailla turvassa jos vähänkään käyttää järkeä.

         Perusteletko miten ongelma koskee ”erityisesti” Applen laitteita?

         • 6.3.2015, klo 11:34

           kk

           Ja kyllähän se haavoittuvuus sitten näkyy koskevan myös Windowsia:
           http://www.cnet.com/news/windows-vulnerable-to-freak-encryption-flaw-too/#ftag=CAD590a51e

2. 6.3.2015, klo 21:20

   Kirjaudu sisään vastataksesi

   Fandroid

   Tuollahan tuota voi käydä itse kokeilemassa:

   https://freakattack.com/

   IE 11: Good News! Your browser appears to be safe from the FREAK attack.

   Safari: Warning! Your browser is vulnerable to the freak attack. It can be tricked into using weak encryption if you visit a vulnerable website. We encourage you to update your browser right away.

   Chrome: Warning! Your browser is vulnerable to the freak attack. It can be tricked into using weak encryption if you visit a vulnerable website. We encourage you to update your browser right away.

   FF:??

3. 6.3.2015, klo 21:28

   Kirjaudu sisään vastataksesi

   Fandroid

   https://freakattack.com/vulnerable.txt

   Suomalaisia sivustoja joissa päivittämtön SSL/TSL komponentti ( The Freak Attack SSL/TLS Vulnerability ) löytyy tuosta yli 100 kpl