Tietoturvatutkija havaitsi Kilven salauksessa puutteita. Kehittäjä reagoi asiaan nopeasti.

Suomessa kehitetty ja turvalliseksi mainostettu Kilpi-pikaviestin sai tunnetun tietoturvatutkijan Harry Sintosen kaivamaan sovellusta pintaa syvemmältä. Löydökset yllättävät.

Lue lisää: Karstulalainen Harri Laitinen kehitti ”pommin­kestävän” pikaviestimen – tällainen on Kilpi

Kilpi perustuu useaan samanaikaiseen salausalgoritmiin, ja viestien salakirjoittamisen ohella viestintä jaetaan palasiksi, jotka reititetään kohteisiin eri teitä. Hätätilanteessa viestejä voi välittää myös salakirjoitettuina tekstiviesteinä. Ja tässä viimeiseksi mainitussa toiminnossa piilee myös heikkous, Sintonen arvioi.

Tutkija esitti IS Digitodaylle todisteita, miten jutun alussa näkyvässä videossa salattuna tekstiviestinä lähetetty ”Moikka moi” -viesti on ”kenen tahansa purettavissa hyvin yksinkertaisesti”. Samoin hän todisti purkaneensa Kilven omassa materiaalissa näytettävän ”encrypt any message” -viestin.

Sintosen mukaan temppu onnistui, koska Kilpi käyttää tässä yhteydessä vakiosalausavaimena erittäin heikkoa numerosarjaa. IS Digitoday ei tietoturvasyistä julkaise numerosarjaa.

– Videolla nähty Kilpi-sovelluksen viestien salaus on siis täysin käyttökelvoton tietojen salaamiseen, Sintonen sanoo.

” Videolla nähty Kilpi-sovelluksen viestien salaus on täysin käyttökelvoton tietojen salaamiseen.

Kilven pääkehittäjä Harri Laitinen kertoo tekstiviestisalauksen poistuvan Kilvestä toistaiseksi. Kehittäjän mukaan ominaisuuden kehitys on kesken eikä se ole valmis laajaan käyttöön.

– Poistamme tämän sms-ominaisuuden tuotteesta, kunnes sen osalta asiakkaiden tarve on selkeämpi, Laitinen vastaa.

Kilpeä ei ole vielä julkaistu laajalle yleisölle, jotta siitä voitaisiin ensin korjata mahdollisimman paljon virheitä. Laitisen mukaan sms-toiminnon poistaminen ei viivästytä Kilven kuluttajaversiota.

Entä vaikuttaako palaute sovelluksen käyttömahdollisuuksiin yrityksissä ja muissa organisaatioissa?

– Yritykset ja organisaatiot eivät käytä näitä sms-ominaisuuksia normaalitilanteissa, koska idea oli käyttää sitä epänormaaliin tilanteeseen, kun normaali internet ei ole käytettävissä. Muut sovelluksen päätoiminnot säilyvät ennallaan, Laitinen sanoo.

Laitinen kiittää Sintosta palautteesta. Tutkija kertoo ilmoittaneensa sovelluksen tietoturvaongelmista myös Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskukselle.

Sintonen ei arvioi Kilven turvallisuutta sms-toimintoa laajemmin. Hänen mukaansa on täysin mahdollista, että sovelluksen muut toiminnallisuudet, kuten suorat salatut viestit, ovat eheitä ja toimivia.

Sintosen mukaan sms-toiminnossa käytetty salaus on sama, jota venäläinen Insight-pikaviestin käyttää. Insight julkaistiin Applen App Storessa huhtikuussa 2021, ja Android-versio seurasi pian perässä.

Laitinen selvittää, että myös Insight on hänen tekemänsä. Kilven nykyinen testiversio eli kehitystyössä käytetty ”hiekkalaatikko” on siis käytännössä Insight, ja testaajien joukossa on ollut myös venäläisiä.

Noin 800 ihmistä eri puolilta maailmaa on testannut Kilpeä sen jälkeen, kun siihen annettiin mahdollisuus vähän yli vuosi sitten. Venäläisille tuote oli kiinnostava vaikean poliittisen tilanteen vuoksi.

Insight on Kilven raakaversio, josta puuttuu useita toiminnallisuuksia. Laitisen mukaan lopullinen tuote esimerkiksi käyttää Suomessa sijaitsevaa palvelinympäristöä, joka vastaa viranomaisvaatimuksiin toiminnan jatkumisesta myös poikkeusoloissa.

” Sekaannusten välttämiseksi olemme päättäneet sulkea Kilven demoversion Skandinavian alueelta.

Laitinen näkee kuitenkin väärinkäsitysten mahdollisuuden, kun Insightin kehittäjäksi on nimetty sovelluskaupoissa Novilab Mobile, ja sovellusten käyttöliittymät ovat pitkälti samanlaisia.

– Sekaannusten välttämiseksi olemme päättäneet sulkea Kilven demoversion (Insight) Skandinavian alueelta, Laitinen sanoo.