Tietoturva

Applen suojaus murrettiin: Videot ja valokuvat vapaata riistaa

Julkaistu: , Päivitetty:

Applen kuuluisa salaus sisältää haavoittuvuuksia siinä missä muutkin ohjelmistot, tutkijat osoittivat The Washington Postin mukaan.
Johns Hopkins Universityn tutkijaryhmä löysi haavoittuvuuden Applen paljon mainostetusta salauksesta. Aukon avulla on mahdollista selvittää uhrin iCloud-palvelussa säilyttämiä salattuja videoita ja valokuvia, jotka lähetettiin suojattuina pikaviesteinä, The Washington Post -lehti kirjoittaa.

Hyökkäys vaatisi taitoa – luultavasti valtiotason osaamista, tutkijat arvelevat. Mutta he saivat muutamassa kuukaudessa kehitettyä iskutavan, joka tepsi iMessage-ohjelmaan ja iPhoneihin, joissa ei ajettu uusinta iOS-käyttöjärjestelmää. Muokattu versio hyökkäyksestä kuitenkin toimisi myös nykyisessä iOS:ssä.

Kokeellisessa hyökkäyksessä tutkijat koodasivat softan matkimaan Applen palvelinta. He kaappasivat salatun iMessage-viestin, jossa oli linkki iCloudissa säilytettyyn valokuvaan ja 64-merkkinen salausavain. Avain pystyttiin selvittämään yksi numero kerrallaan yrityksen ja erehdyksen kautta lähettämällä se takaisin puhelimeen. Joka kerta, kun yksi numero oli oikein, puhelin hyväksyi sen. Puhelinta kaiveltiin tällä tavoin tuhansia kertoja, kunnes avain oli selvillä.

Tutkijoiden mukaan tätä haavoittuvuutta tuskin olisi voinut käyttää San Bernardinon terroristin iPhonen avaamiseen, mutta se nostaa esiin jo aiemmin esitetyn kysymyksen: Miksi FBI vaatii Applea koodaamaan uuden iOS-version terroristin puhelimen avaamiseksi, kun se voisi etsiä Applen softasta haavoittuvuuksia ja käyttää niitä hyväkseen.
Mainos (Teksti jatkuu alla)
Mainos päättyy

– Minua pelottaa, että käymme tätä keskustelua takaovien lisäämisestä salaukseen, kun emme osaa tehdä edes perussalausta oikein, tutkimusta johtanut Matthew Green totesi Washington Postille iMessage-ongelmaan viitaten.

Apple kiitti tutkijoita ja lupasi korjata haavoittuvuuden tänään maanantaina ilmestyvässä iOS 9.3:ssa. Yhtiön mukaan ongelma korjattiin osittain jo viime syksynä.

Tietoturvan kannalta on ristiriitaista, että aiempien kokemusten valossa uuden iOS:n nopeaa asentamista ei voi suositella varauksetta. Aiemmista versioista on toisinaan löytynyt heti julkaisun jälkeen virheitä, jotka on sitten korjattu myöhemmillä päivityksillä. Siksi usein suositellaan, että uuden ohjelmistoversion asentamista kannattaa lykätä esimerkiksi parilla viikolla.

Kommentit

    Näytä lisää