Gurut: Twitterin lisäturva ei lisää turvaa - Tietoturva - Ilta-Sanomat

Gurut: Twitterin sms-varmistus ei varmista mitään

Tietoturva-asiantuntijat tökkivät helposti aukkoja Twitterin tekstiviestivarmistukseen. Se saattaa pahimmillaan olla jopa uusi tietoturvariski.

28.5.2013 11:11 | Päivitetty 28.5.2013 11:11

Mikroblogipalvelu Twitter teki kaivatun uudistuksen äskettäin ja alkoi tarjota kaksivaiheista tunnistusta. Siinä käytetään ylimääräisenä tunnistuskeinona tekstiviestillä lähetettävää koodia.

Asiantuntijat eivät ole vakuuttuneita uudistuksesta. Ensinnäkin se ei auta isoja Twitter-tilejä riivaaviin murtoihin, koska esimerkiksi uutistoimisto AP:llä on useita työntekijöitä, joilla jokaisella on oma puhelin.

Mutta ongelmat ovat paljon pahempia, tietoturvayhtiö Toopherin pääjohtaja kertoo Youtube-videossa PC Magazinen mukaan. Josh Alexanderin mukaan Twitter-tilien tyypillinen kaappaustapa tepsii edelleen.

Ensin tietomurtaja lähettää vakuuttavan kalasteluviestin sähköpostilla uhrille. Viestissä kehotetaan vaihtamaan Twitter-salasana ja klikkaamaan linkkiä, joka johtaa väärennetylle Twitter-sivulle. Kun uhri on kirjoittanut sinne tunnuksensa, murtaja kirjautuu niillä Twitteriin.

Todellinen Twitter lähettää sitten varmistuskoodin tekstiviestillä uhrin puhelimeen, ja tämä kirjoittaa koodin väärällä Twitter-sivulla. Sen myötä tili on murtajan hallussa, Alexander selvittää. Hänen firmansa myy vaihtoehtoista menetelmää kaksivaiheiseen tunnistukseen.

KäyttäjäpihalleSuomalaisen F-Securen asiantuntija Sean Sullivan on myös epäileväinen Twitterin uudistuksesta. Huolestuttava skenaario koskee käyttäjiä, joilla ei ole vielä tekstiviestivarmennusta käytössä. Käyttäjän voi lukita kokonaan ulos Twitteristä.

Sullivanin kokeilujen mukaan murtaja voi tavalliseen tapaan ensin kaapata tilin kalasteluviestillä. Sitten hän voi lähettää Twitteriin omalla puhelimellaan viestin GO. Se kytkee hyökkääjän puhelinnumeron Twitter-tiliin ja sitten hän voi kytkeä myös kaksivaiheisen tunnistuksen päälle.

Puhelinnumeron lisäämiseen ei vaadita varmistuskoodia, Sullivan huomioi.

– Joten ehkä kannattaisi kytkeä päälle tilin kaksivaiheinen tunnistus – ennen kuin joku toinen tekee sen puolestasi, Sean Sullivan miettii.

Osion tuoreimmat

Luitko jo nämä?