keskiviikko 26. helmikuuta 2014

Mac-tietokoneista, iPhonesta ja iPadeista on löytynyt salatun tietoliikenteen vaarantava haavoittuvuus

[Kyberturvallisuuskeskus] Applen iOS ja Mac OS X -käyttöjärjestelmistä on löytynyt haavoittuvuus, jonka avulla salattuja tietoliikenneyhteyksiä voidaan salakuunnella ja sen yli siirrettävää tietoa muokata. Viestintäviraston Kyberturvallisuuskeskus suosittelee päivittämään Applen iOS-laitteet mahdollisimman pian. Mac OS X -käyttöjärjestelmälle ei ole vielä saatavilla päivitystä.

Viestintäviraston Kyberturvallisuuskeskus suosittelee:

  • Päivittämään Applen iOS-laitteet mahdollisimman pian (iPhone, iPad, iPod Touch)
  • Harkitsemaan Mac OS X 10.9 -käyttöjärjestelmällä salattujen verkkoyhteyksien käyttöä (Mac-tietokoneet)
  • Tarvittaessa Mac OS X 10.9. käyttäjille esim. Google Chrome tai Mozilla Firefox -selainten uusimpia versioita, koska selaimet eivät ole riippuvaisia Applen SSL/TLS-protokollan toteutuksesta

Haavoittuvuus liittyy SSL/TLS-protollaan, jota hyödynnetään avattaessa salattu yhteys käyttäjän ja palvelimen välille. Kyseistä salaustekniikkaa käytetään muun muassa nettipankeissa ja useissa sähköpostiohjelmissa. Verkkoa selailtaessa SSL/TLS-salaus on käytössä, kun selaimen osoiterivillä oleva lukko-ikoni on lukittuna. Yleensä osoiterivillä lukossa oleva lukko-ikoni kertoo, että yhteys on suojattu ja palvelin on todennettu. Applen iOS 6- ja 7- sekä Mac OS X 10.9 -versioista löytyvä haavoittuvuus kuitenkin vaarantaa SSL/TLS-salauksen niin, että käyttäjän on mahdotonta tietää onko tavoiteltu palvelin tai sinne avattu yhteys turvallinen.

Haavoittuvuudelle ovat alttiita kaikki sovellukset, jotka hyödyntävät käyttöjärjestelmän tarjoamaa SSL/TSL-toteutusta. Esimerkiksi Safari-selaimen tiedetään olevan altis haavoittuvuudelle. Loppukäyttäjän on kuitenkin hankala tietää mitä SSL/TLS-toteutusta ohjelmistot käyttävät. Siksi on syytä noudattaa varovaisuutta arkaluontoista tietoa verkon yli siirrettäessä, kunnes haavoittuvuus on korjattu.

Haavoittuvuuden hyödyntäminen edellyttää, että käyttäjän ja palvelimen väliseen tietoliikenteeseen päästään käsiksi niin sanottua man-in-the-middle hyökkäystä avuksi käyttäen. Tällainen tilanne saattaa syntyä jos hyökkääjä pääsee esimerkiksi samaan langattomaan lähiverkkoon käyttäjän kanssa nettikahvilassa tai muussa yleisesti käytetyssä verkossa.

Haavoittuvuus on ollut olemassa syyskuussa 2012 julkaistussa iOS 6.0 versiosta lähtien sekä lokakuussa 2013 julkaistusta Mac OS X 10.9 -versiosta lähtien. Erityisesti yritysten on hyvä miettiä mitä tietoa näillä laitteilla on tänä aikana verkon yli käsitelty, ja riskiarviosta riippuen ryhtyä mahdollisiin toimenpiteisiin kuten salasanojen vaihtoon.
Viestintäviraston Kyberturvallisuuskeskus suosittelee päivittämään iOS-laitteiden käyttöjärjestelmän. Koska Mac OS X -käyttöjärjestelmälle ei ole vielä päivitystä, on suositeltavaa käyttää harkintaa ennen arkaluontoisen tiedon käsittelyä verkon ylitse. Internet-selailun osalta Mac OS X:llä ongelman voi toistaiseksi kiertää käyttämällä Google Chrome tai Mozilla Firefox -selainten uusimpia versioita, koska ne eivät ole riippuvaisia Applen SSL/TLS-protokollan toteutuksesta.

Haavoittuvuus koskee seuraavia laitteita:

  • Applen iPhone, iPad ja iPod Touch -laitteiden iOS käyttöjärjestelmän versioita 7.0, 7.0.1, 7.0.2, 7.0.3, 7.0.4, 7.0.5 sekä versioita 6.0, 6.0.1, 6.0.2, 6.1, 6.1.2, 6.1.3, 6.1.4, 6.1.5
  • Applen Mac OS X -käyttöjärjestelmän versioita 10.9 ja 10.9.1 (Maverics). Haavoittuvuus ei koske aiempia Mac OS X -versioita.
  • Apple TV versioita 6.0 ja 6.0.1

Saatavilla olevat päivitykset:
  • Applen iOS 6.1.6 -päivitys korjaa ongelman käyttöjärjestelmän version 6 -osalta
  • Applen iOS 7.0.6 -päivitys korjaa ongelman käyttöjärjestelmän version 7 -osalta
  • Apple TV 6.0.2 -päivitys korjaa ongelman ohjelmiston version 6 -osalta

Päivitystä ei saatavilla:
  • Max OS X -käyttöjärjestelmän 10.9 -versiolle (Maverics) ei ole vielä päivitystä. Julkisuudessa olevien tietojen mukaan Apple on kuitenkin toimittamassa päivityksen nopealla aikataululla.

(huom. Tämä on suora kopio Kyberturvallisuuskeskuksen tiedotteesta)

LÄHDE: Kyberturvallisuuskeskus / Tietoturva nyt!