Jolla-, Android- ja iPhone-puhelimista paljastui Heartbleed-haavoittuvuus

Julkaistu: , Päivitetty:

Jolla-puhelimista sekä Android- ja iPhone-puhelimien eräistä ohjelmistoista on löytynyt Heartbleed-haavoittuvuus, jota pidetään vakavana tietoturvauhkana verkkopalveluille. Asiantuntijoiden mukaan puhelimissa aukko ei ole yhtä vakava kuin verkkopalvelimissa.


Aiemmin tällä viikolla julkaistu vakava Heartbleed-haavoittuvuus koskee uhkaa paitsi verkkopalveluja, mutta myös puhelimia ja tietokoneita. Haavoittuvuus paljastui aiemmin yhteyden salaamiseen käytetystä OpenSSL-sovelluksesta.

Viestintäviraston Kyberturvallisuuskeskus on päivittänyt listaa ohjelmista, joista haavoittuvuus on löytynyt. Listalta löytyy muun muassa esimerkiksi iPhone- ja Android-puhelimissa käytetyn F5 BIG-IP Edge Client -ohjelmiston versioita, joita käytetään esimerkiksi suojatuissa puhelimen ja yrityksen järjestelmien välillä. Haavoittuvia versioita on jaettu Applen ja Googlen sovelluskaupoissa.

IPhonea tai Android-puhelimia vakavammalta listassa näyttää Jolla, joka on sellaisenaan listalla omana kohtanaan.

– Lisäsin sen tuohon listaan, sillä Jollassa on ollut haavoittuva versio OpenSSL:stä, kertoo erityisasiantuntija Jussi Eronen Kyberturvallisuuskeskuksesta.

– Ilmeisesti Jollan käyttöjärjestelmä ja sen varusohjelmistot kuitenkin käyttävät muita SSL-versioita, joten vaikutus voi olla Jollan kannalta vähäinen. Jotkut erilliset sovellukset voivat kuitenkin käyttää myös OpenSSL:ää.

Jollan kehittäjäsivujen mukaan puhelimien korjauspäivitys on työn alla. 

Tietoturva-asiantuntijoiden mukaan Heartbleed-aukko ei kuitenkaan muodosta samanlaista uhkaa päätelaitteille kuin verkkopalvelimille.

– Aukon väärinkäyttö on haasteellista, sanoo teknologiajohtaja Pekka Sillanpää Nixu-tietoturvayhtiöstä.

Hyökkääjän pitäisi ensin houkutella päätelaite ottamaan yhteyttä haitalliseen palvelimeen, esimerkiksi levittämällä sinne vievää nettilinkkiä. 

Heartbleed-aukon avulla palvelimilta voidaan urkkia kerrallaan pieniä tietomääriä, joten periaatteessa tämä olisi mahdollista tehdä myös päätelaitteille.

– Paljon riippuu siitä, miten mikin päätelaite on toteutettu, eli minkä sovellusten muistiin tällä tavalla voi päästä, Sillanpää sanoo.

– Jos hyökkääjä pääsee lukemaan esimerkiksi nettiselaimen muistia, sieltä voi löytyä vaikka salasanoja. Silloin kyseessä voi olla vakava ongelma, sillä hyökkääjä voi kirjautua käyttäjän tunnuksilla johonkin palveluun.

Erosen mukaan päätelaitteesta voisi saada jotain aikaisemman yhteyden tietoja.

– Mutta sitä ennen on monta askelta, ennenkuin näitä tietoja voidaan edes yrittää urkkia päätelaitteesta, sanoo Eronen.

Heartbleed-haavoittuvuus uhkaa käyttäjän tietoja siis lähinnä verkkopalveluiden ja -palvelimien kautta. Asiansa osaava hyökkääjä voi haavoittuvuuden avulla saada suhteellisen helposti vielä paikkaamattomista verkkopalveluista tietoonsa esimerkiksi käyttäjien salasanoja tai muuta verkkoliikennettä.

Kommentit

    Näytä lisää