Puheenaihe

Käytätkö tällaista sovellusta? Tutkijat paljastivat vuotokohdan, josta kollega tai perheenjäsen voi napata salasanat

Moni käyttää salasanasovelluksia. Kuvituskuva.

Ella Kajaste

Aalto-yliopiston ja Helsingin yliopiston tutkijat ovat paljastaneet haavoittuvuuden salasanojen tallennusohjelmissa. Nämä ohjelmat ovat erityisen haavoittuvaisia, sillä niissä on usein kaksi erillistä osaa: salasanaholvi ja laajennus verkkoselaimeen.

Osien välistä tiedonvälitystä kutsutaan prosessien väliseksi kommunikaatioksi (inter-process communication eli IPC). Oman tietokoneen sisällä tapahtuvaa toimintoa on pidetty turvallisena. Todellisuudessa ohjelmistoissa on harvoin IPC-kanavan suojausta, joten tahallaan tai vahingossa käynnistetyt haittaohjelmat saattavat päästä IPC-kanavassa kulkeviin salasanatietoihin käsiksi.

– Löytämiemme haavoittuvien ohjelmistojen suuri määrä osoittaa, että ohjelmistokehittäjät eivät huomioi tietoturvallisuutta prosessien välisessä kommunikaatiossa. Ohjelmistokehittäjät eivät välttämättä tunne kommunikaatioon liittyviä tietoturvaratkaisuja tai he olettavat tietokoneen olevan täysin suojattu ympäristö. Joka tapauksessa molemmat selitykset ovat huolestuttavia. Vastaavia ongelmia löytyy luultavasti lisää, kertoo Aalto-yliopiston professori Tuomas Aura.

Suomalaisille merkittävin haavoittuvuus löytyi DigiSign-kortinlukijaohjelmistosta, jota Väestörekisterikeskus tarjoaa käyttöön esimerkiksi sähköisen henkilökortin ja terveydenhuollon ammattikortin käyttäjille. Tutkijoiden mukaan esimerkiksi lääkemääräyksiä voisi väärentää muuttamalla IPC-kanavassa yhdestä ohjelmiston osasta toiseen allekirjoitettavaksi lähetettyä reseptiä. Väärinkäytöksiä ei ole tiedossa.

Tutkijoiden mukaan IPC-kommunikaatiota käyttäviä ohjelmistoja vastaan voi hyökätä kuka tahansa, jolla on pääsy samalle tietokoneelle. Esimerkiksi yrityksissä keskitetty käyttäjähallinta mahdollistaa kaikkien työntekijöiden kirjautumisen mille tahansa tietokoneelle.

Tällaisessa ympäristössä jokaisella yrityksen työntekijällä on periaatteessa mahdollisuus väärinkäytöksiin. Hyökkääjä voi myös kirjautua koneen vierailijatilille tai käyttää konetta verkon yli, jos etäyhteyden ottaminen koneeseen on mahdollista.

– Monenlaiset turvallisuuskriittiset ohjelmistot, kuten salasanojen hallintaohjelmistot, eivät varmista IPC-kanavan turvallisuutta. Silloin mikä tahansa tietokoneella pyörivä ohjelma pääsee käsiksi kommunikaatiokanavaan. Salasanojen tallennusohjelmistoista voi esimerkiksi varastaa salasanoja ja käyttäjätunnuksia, sanoo tutkijatohtori Markku Antikainen Helsingin yliopistosta.

Mitä tunnetta artikkeli sinussa herättää? Ilmaisemalla tunteesi näet toisten reaktiot.

Lisää aiheesta

Verkkorikolliset aktivoituvat nyt – näillä kolmella salasanavinkillä parannat turvallisuuttasi25.6.2018 04.15
Suomalaisten suosima sähköposti vakavan tietomurron kohteena – vaihda heti salasanasi13.6.2018 04.00
Suomalaisten Visa-kortteja suljetaan nyt ilman asiakkaan omaa syytä – IS: "Korttitietosi ovat mahdollisesti vaarantuneet"21.7.2018 04.00

Etusivulla nyt

Uusimmat: Puheenaihe

Uusimmat

Luetuimmat