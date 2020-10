ICloud-haavoittuvuus on yksi 55 aukosta, jotka hakkerit kaivoivat esiin kolmen kuukauden aikana.

Applen eri verkkopalveluista löytyi 55 haavoittuvuutta, kun joukko tietoturvatutkijoita otti asiakseen penkoa palvelujen koodia kolmen kuukauden ajan. Tiimi julkaisi tuloksensa äskettäin ja niistä uutisoi The Hacker News.

Yksi vakavista löydöksistä koski Applen iCloud-tallennuspalvelua, jonne muun muassa kopioituvat käyttäjien valokuvat, videot, asiakirjat ja yhteystiedot. Hakkerit löysivät iCloudissa heikkouden, jota pystyi käyttämään hyväksi lähettämällä uhrille haitallinen sähköposti. Sen avaaminen selaimessa Apple Mail -palvelussa riitti antamaan hyökkääjälle pääsyn uhrin iCloud-tiliin kuvineen ja muine tietoineen.

Haavoittuvuus mahdollisti lisäksi hyökkäyksen helpon leviämisen lähettämällä haitallinen sähköposti eteenpäin uhrin yhteystiedoille. Hakkerit esittelevät tätä aukkoa lyhyessä videossa.

Kaiken kaikkiaan hakkerit raportoivat Applelle 11 kriittistä haavoittuvuutta, 29 vakavaa haavoittuvuutta, 13 keskitason aukkoa ja 2 vähäistä aukkoa. Niiden avulla olisi voinut myös muun muassa ottaa täysin haltuun asiakkaiden ja yritysten työntekijöiden sovelluksia, varastaa Applen sisäistä lähdekoodia ja täysin kaapata Applen käyttämä varasto-ohjelmisto.

55 haavoittuvuutta ei sinänsä ole valtava määrä aukkoja kolmen kuukauden ajalta. Applen kilpailija Microsoft paikkaa joka kuukausi usein huomattavasti suuremman määrän haavoittuvuuksia tuotteistaan.

Apple oli jo toissa viikolla korjannut huomattavan enemmistön aukoista. Tutkijat olivat netonneet Applen palkkio-ohjelmasta lähes 290 000 dollaria eli melkein 250 000 euroa.

Tietoturva-aukkojen markkinoilla on muitakin maksajia kuin palveluiden omistajat – jotka eivät edes aina palkitse haavoittuvuuksien löytämisestä. Myös harmaalla alueella toimivat hakkerifirmat ostavat haavoittuvuuksia ja myyvät niitä eteenpäin esimerkiksi tiedustelupalveluille. Vaikka monet puolustautuvat sanomalla käyvänsä kauppaa vain hallitusten kanssa, tämä mahdollistaa kansalaisten ja aktivistien urkinnan itsevaltaisissa maissa.

On myös tiedossa tapauksia, joissa tällaisia aukkoja on vuotanut pimeille markkinoille. Näin kävi esimerkiksi The Hacking Teamin tapauksessa, kun yhtiön hakkerointityökalut varastettiin.