Applen käyttöjärjestelmissä aukko – jopa verkkopankin käyttö vaarassa

Applen iOS- ja Mac OS X -käyttöjärjestelmistä on löydetty haavoittuvuus, jonka vuoksi salatun yhteyden suojausta ei aina tarkisteta. IPhone- ja iPad-laitteille on tarjolla korjauspäivitys, mutta Mac-tietokoneille sellaista ei toistaiseksi ole tarjolla.

Kotimaa
iPad-laitteita.
Glenn Chapman / AFP

Viime perjantaina Apple kertoi, että sen iOS- ja Mac OS X -käyttöjärjestelmistä on löydetty haavoittuvuus, jonka vuoksi SSL/TLS-yhteyden suojausta ei aina tarkisteta.

SSL/TLS-yhteys on nykyään yksi tavallisimpia tapoja suojata tietoliikennettä. Sitä käytetään suojaamaan käyttäjän tilitietoja esimerkiksi verkkokauppaostosten maksuissa.

Haavoittuvuuden seurauksena hyökkääjän on niin kutsutun MitM (Man in the Middle) –hyökkäyksen avulla mahdollista esiintyä käyttäjän tavoittelemana palvelimena ja saada selville tai muokata luottamuksellista tietoa.

– Käytännössä tämä tarkoittaa sitä, että hyökkääjä voi esittää palvelimen, kuten verkkopankin aidon varmenteen, vaikka siihen liittyvää salaista avainta ei olisikaan käytettävissä, kertoi Viestintäviraston Kyberturvallisuuskeskuksen tietoturva-asiantuntija Ilkka Mattila Yle Uutisille.

Näin ollen epärehellinen välittäjä pystyy avoimessa verkossa sieppaamaan käyttäjän selaimen ja sivuston välisen viestinnän, ja tätä kautta tarkkailemaan, tallentamaan ja näkemään kaiken tiedonvaihdon käyttäjän ja sivuston välillä; myös salasanat.

Helpotusta asiaan tuo tieto siitä, että käyttäjän salasanasuojattu langaton kotiverkko on turvassa.

Yhdysvaltalaisen Johns Hopkinsin yliopiston salaustekniikan professorin Matthew Greenin mukaan tilanne on "juuri niin paha, kuin kuvitella saattaa".

Myös Mattila on samoilla linjoilla.

– Jos mietitään tietoturva-aukkoa salatussa verkkoyhteydessä, niin kyllä tämä on vakavimmasta päästä. Haavoittuvuuden kannalta erittäin olennaista on se, että nimenomaan nyt sen tultua julki on paljon aiempaa todennäköisempää, että haavoittuvuutta yritetään hyödyntää, Mattila totesi.

Applen iOS-laitteille – iPhone-, iPad- ja iPod touch – on jo jaossa korjauspäivitys.

Kyberturvallisuuskeskus kehottaa käyttäjiä päivittämään iOS-mobiililaitteiden ohjelmiston automaattisella päivitystoiminnolla korjattuun versioon iOS 7.0.6. Jos käytössä on iPhone 3GS tai vanhempi iPod touch, niin silloin voi käyttää iOS 6.1.6 -versiota.

Sen sijaan Mac OS X:lle ei toistaiseksi ole tarjolla korjauspäivitystä.

Tästä syystä Mac-koneiden kannattaa käyttää Safari-selaimen asemesta Chrome- tai Firefox-selaimia, sillä haavoittuvuus ei koske niitä. Chrome- ja Firefox käyttävät omaa SSL-toteutustaan.