Top

iPhonesta löytyi käsittämätön tietoturva-aukko

keskiviikko 22. helmikuu 12 - Niko Antin - Jätä kommentti

Ongelman voi kiertää estämällä lukitusruudun ilmoitukset (Kuva: Youtube/ruudunkaappaus)

iPhonesta on löytynyt hurja tietoturva-aukko, jonka avulla puhelimeen pääsee käsiksi esimerkiksi pelkällä paperiliittimellä, vaikka se olisi suojattu pääsykoodilla. iPhoneen tehdään puhelinsoitto, johon ei vastata. Ruudulla näkyy tuttu ilmoitus saapuneesta puhelusta, jolloin sim-korttipaikka avataan paperiliittimellä.

Tämän jälkeen sim-korttipaikka painetaan takaisin kiinni ja pyritään vastaamaan saapuneeseen puheluun kotiruudulle tulleen ilmoituksen kautta. Jos ajoitus osuu oikeaan, jää iPhonen puhelinsovellus auki, vaikka puhelu epäonnistuukin meneillään olevan sim-kortin tunnistuksen takia. Murtautuja pääsee vapaasti käsiksi puhelimen yhteystietoihin, suosikkeihin, viimeksi soitettuihin puheluihin ja viesteihin.

Tietoturva-aukosta kertoo iPhoneIslam, joka on julkaissut siitä myös videon. Oikea ajoitus on hankala, mutta onnistuu useammalla yrittämällä. Apple ei ole julkaissut aukkoon vielä korjausta, mutta murtaminen ei onnistu, mikäli asetuksista on estetty ilmoituksien näyttäminen lukitusnäytöllä. Tietoturva-aukko on ainakin uusimmassa iOS 5 -käyttöjärjestelmässä ja toimii kaikissa iPhoneissa 3GS:sta uusimpaan 4S:ään.

Katso video:

Kommentit

20 vastausta kirjoitukseen “iPhonesta löytyi käsittämätön tietoturva-aukko”

  1. Apple on helmikuu 22, 2012 14:21

    Vaihtaa simin.

  2. Olen omena on helmikuu 22, 2012 14:49

    Tietoturva on näissä ollut aina huipussaan :D

  3. hp on helmikuu 22, 2012 15:27

    Ongelma niille, joiden puhelin varastetaan tai muuten joutuu vääriin käsiin. Toivottavasti aukko korjataan pian. Sitä odotellessa varastetun puhelimen sisällön saa tyhjennettyä iCloudilla ja Find My iPhonella.

  4. Olen omena on helmikuu 22, 2012 15:42

    Jos puhelin varastetaan ja varas oikeasti haluaa saada siitä jotain tietoja itselleen, tuskin hän on niin tyhmä että jättää sen verkkon. Eli noista etä lukitus/tyhjennys softista ei ole paljon iloa.

  5. hp on helmikuu 22, 2012 16:33

    Sen varkaan saamat tiedot jää yhteystietoihin. Siitä on varmasti paljon iloa.

  6. Apuser on helmikuu 22, 2012 16:45

    Samantapainen aukko oli iPadissa iOS-versiossa 5.0, magneettikannella (tai millä tahansa magneetilla, jos asetuksista oli kannella lukitus päällä) sai kikkailtua lukituksen auki. Testasin sitä myös itse ja kyllä se pääsykoodin ohitus onnistui. Mitään ohjelmia ei pystynyt käynnistämään, mutta jos oli vaikka jäänyt Mail auki, sitä pystyi käyttämään täysin. Bugi korjattiin versiossa 5.0.1. Ihan tutulta kuulostaa tämä…

  7. Olen omena on helmikuu 22, 2012 17:02

    Tosiaan jännää miksei tuon ipad ongelman aikaan otettu testaukseen ko, lukitus ominaisuutta enemmänkin. Noh, nämä ovat näitä osa syitä miksi yritysmaailmassa moisia ios laitteita osaksi vastustetaan.

  8. Apuser on helmikuu 22, 2012 17:57

    “Noh, nämä ovat näitä osa syitä miksi yritysmaailmassa moisia ios laitteita osaksi vastustetaan.”

    Perustuu mihin tietoon? Kokemukseen? Totta että niitä(kin) vastustetaan, mutta vain muutosta yleensäkin pelkäävät. Mobiililaitteissa on aina yritykselle riskinsä, mutta iOS on kyllä turvallinen vaihtoehto. Kokemuksesta tiedän että esim. kaikki Android-laitteet eivät sisällä mitään helppoa toimivaa etätyhjennysmahdollisuutta, eivätkä tottele kaikkia Exchangen policyjakaan. Ei myöskään Nokian uudempienkaan Symbian laitteiden kanssa ole hyviä kokemuksia, jos esim. lukituskoodin kysely pakotetaan, se hyppii silmille koko ajan kesken puhelimen käytön. No herra johtajan kyllä hyvin äkkiä tekee mieli ottaa se kokonaan pois… iOS on ainakin näitä vaihtoehtoja turvallisempi ja ylläpitäjälle muutenkin helpompi. Siksi iOS-laitteita otetaan yrityksissäkin käyttöön koko ajan kiihtyvällä tahdilla, myös Nokia-maa Suomessa. Vai väitätkö että esim. MS:n tuotteet olisivat turvallisia? Tai Android? Hehheh. Androidia ei ainakaan yrityskäyttöön voi suositella ollenkaan. No uusista Windows Phone versioista on niin vähän kokemuksia, että niistä en sano vielä mitään… Tai no ainakaan Exchangen omatekoiset SSL-sertifikaatit eivät kelpaa asentamatta juurisertiä, mikä on periaatteessa hyvä asia tietoturvan kannalta, mutta voi johtaa pienissä yrityksissä kokonaan salaamattoman yhteyden käyttöön niin ylläpito pääsee helpommalla.

    No, tämä on turva-aukko, siitä ei pääse mihinkään. Mutta ei lähellekään niin vakava kuin äkkiä luulisi jos kaikkiin puhelimen tietoihin ei pääse käsiksi.

  9. Olen omena on helmikuu 22, 2012 18:18

    Niin tuo kommenttini perustui ihan omiin kokenksiin sekä luettuun tietoon. En nyt jaksa kaivaa uutista, mutta taisi olla vielä tälläviikolla tilastoa siitä että yritykset ostavan vielä kovaa kyytiä nokian E sarjalaisia vaikka kuluttajat ovat jo siirtyneet muihin laitteisiin.

    Mikä sitten olisi hyvä tietoturvallinen älypuhelin? Maailmalla kovaa mainetta on niittänyt Black Berry jota tosin ei (vielä) myydä suomessa. Nokian E sarjalaiset ovat myös varmasti hyviä, perustuen siihen että monet ytitykset ovat näitä laitteita ostaneet ja exchange turva policyt ovat tuettuina.

    Se mihin kaikkiin tietoihin tuon ios:n turva aukon kautta pääsee käsiksi, ei ole niin isoa merkitystä. Sillä taas on että tälläisiä aukkoja ylipäätään löytyy. Vielä kun näissäkin kommenteissa mainitut nuo molemmat aukot ovat aika “amatööri mokia”, kumpikaan ei vaadi mitään suurta osaamista tai laitteistoa niiden hyödyntämiseen.

  10. Apuser on helmikuu 22, 2012 20:26

    “Mikä sitten olisi hyvä tietoturvallinen älypuhelin?”

    Niin kuin sanoin, iPhone on turvallinen. Haittaohjelmia ei oikeastaan ole ollenkaan ja etätyhjennys/-lukitus/-paikannus on hyvä. Tietojen varastamisriski on erittäin pieni. Aina jos mikä tahansa puhelin joutuu vääriin käsiin, olisi tietysti toimittava äkkiä.

    Nokian E-sarjalaisia ostetaan vielä Suomessa, johtuen enemmän esim. räätälöidyistä sovelluksista ja se on tuttu myös tietohallinnoille ja sitä siis vielä tuetaan. Ja moni ei vieläkään valitettavasti edes tiedä paremmasta. Sen ongelmat ovat enemmän muualla kuin tietoturvassa, onhan E-sarjalaisiin saatavilla vielä muidenkin tekemiä tietoturvaratkaisuja. Mutta ne ovat katoavaa kansanperinnettä jatkuvien toimivuus- ja käytettävyysongelmien takia. Myös rautavikoja on todella paljon. Tämän on Nokiakin jo tiedostanut aikaa sitten ja siirtyyy kokonaan Windows Phoneen, Symbianin taru on loppumassa, eikä siihen kannata enää investoida.

    Androidin pahin ongelma on se paljon puhuttu fragmentoituminen (sekin on oikeasti hankala ongelma), yrityksen pitää ainakin testata enemmän ja päättää mitä malleja tuetaan, jos lähdetään tukemaan ollenkaan kun helpommallakin voi päästä. Tietoturvan pilaa ainakin lukuisat haittaohjelmat joiden takia arkaluontoisiakin tietoja voi päästä vääriin käsiin. USA:ssahan tilanne näyttää aika murskaavalta: http://www.appleinsider.com/articles/12/01/28/why_android_isnt_gaining_on_apple_in_the_enterprise_.html, mutta muualla tilanne ei ihan sama varmaankaan ole.

    Blackberryjä en ole ikinä nähnytkään Suomessa, mutta kohta tilanne voi muuttua Cubion ansiosta. Harmi vain että RIM:n tilanne alkaa näyttää huonolta, kun ei pärjää enää yritysmaailmassa iPhoneille. Tarkemmin en ole perehtynyt mikä niissä sitten mättää… Blackberryjen kannalta huonoja uutisia kuitenkin tulee paljon.

    Tietoturva-aukot ovat yleensäkin “amatöörimokia”, jälkeenpäin ajateltuna voi ihmetellä miten tällaista voi sattua, mutta niitä mokia vain sattuu. iPhonea on myyty niin paljon, että todennäköisyys tuollaisten löytymiseenkin on jo iso. Maceistä löytyy myös tietoturva-aukkoja ja tulee jatkossakin löytymään. Ei ole olemassakaan aukotonta järjestelmää, se on käytännössä mahdottomuus. Kyse on vain siitä löytyykö niitä paljon ja miten vakavia, Applen iOS on tässä asiassa kuitenkin vielä kaukana Androidista ja Mac OS X kaukana Windowsista. Tilanne kuitenkin muuttuu myös suosion kasvaessa, se on selvä asia. Ei kannata Apple-käyttäjänkään tuudittautua ikuiseen turvallisuudentunteeseen, mutta miksikään Androidiksi se ei tule koskaan muuttumaan. Android toki voi muuttua iOS:n suljetumpaan suuntaan ja merkkejä siitä on jo ilmassa… Yritysmaailmassa Applen suurin vastus taitaa tulla edelleenkin Redmontista.

  11. Olen omena on helmikuu 22, 2012 21:55

    Mielestäni iphone ei ole mitenkään keskivertoa turvallisempi, päinvastoin. Kuten tässäkin keskustelussa on jo tuotu esiin useampi vakava tietoturva aukko. Muista platfomeista ei olla ainakaan kovin julkisesti uutisoitu tälläisiä aukkoja joissa ilman mitään apukeinoja puhelimen suojaukset murtuvat. Millekkään puhelin platformille ei juuri ole haittaohjelmia, sellaisia jotka kykenisivät itsenäisesti leviämään ja toimimaan, joten varsinkin yrityskäytössä tietoturva tulee siitä että puhelimeen ei pääse kukaan muu käsiksi. Monella kun puhelimesta on yrityksen sähköpostit, kalenteri, ehkä jotain dokumentteja, on se hävitessään melkoinen tietoturva riski jos ei olla varmoja että dataan ei päästä käsiksi.

    Mitä tulee nokian E sarjan ongemiin, suurin ongelma on nyt tietysti se että elämme murros vaihettä ja WP laitteet korvaavat symbian laitteet. Suurin symbianin ongelma oli huono maine jollain markkinoilla ( = USA) sekä käytettävyydessä tultiin heiman perässä. Ongelmana eivät ole olleet mitkään listaamasi rauta ongelmat tms. Edelleen esimerkiksi Nokia E7 on loistava yritys puhelin vieläkun siihen päivittää hiljattain julkaistun Nokia Bellen. Käytettävyys on toki joltain osin hieman jäljessä verrattuna uudempiin platformeihin mutta Bellen myötä tultiin käytettävyyden tasolle joka voidaan pitää jo erittäin hyvänä. Myös erinomainen näppäimistö on monelle yrityskäyttäjäle tärkeä ominaisuus.

    Black Berry ovat myös olleet perinteisesti oikealla näppäimistöllä varustettuja, joka kai niiden alkuperäisne suosion yksi kulmakivi olikin. Lisäksi BB:n suosioon on toki vaikuttanut loistavat viesti ja kalenteri ominaisuudet sekä hyvä akun kesto. Nämä ovat ominaisuuksia joita haetaan työkalulta. Black Berry ei ole kyennyt uudistumaan riittävästi ja puhelimiaan ja maine onkin muuttunut enemmän harmaan busines miehen työkaluksi kuin nuorisoa kiinnostavaksi puhelimeksi. Tuskin siis näistä saadaan suomessa mitään hittiä aikaiseksi vaikka myyntiin tulevatkin.

    Androidin ongelma on sen liika avoimuus josta myös pirstaloituminen on osin johtunut. Platformeista Anrdoidille taitaa olla eniten haitta ohjelmia mutta eivät nekään kovin itsenäiseen toimintaan. Joten se tietoturva lähtee myös paljon sieltä käyttäjästä itsestään.

    Windows Phonen yritysmaailman suosiosta ei tietysti ole vielä juuri tilastoja mutta alku on ainakin erittäin lupaava. Saumaton MS:n toimisto ohjelmien integrointi tekee WP:stä loistavan myös yritys käyttöön.

    Jos tietoturva aukkojen määrää ruvetaan tarkastelemaan myytyjen laitteitten määrään suhteuttaen. Lienee turvallisin valinta yli 1.5 miljardia kappaletta myynyt Nokian S40 perus puhelin, joka sekin tosin jo nykyään taipuu melko monenlaisiin asioihin…

  12. Hemmo on helmikuu 22, 2012 23:26

    Käytännössä tuo ei ole mikään riski. Jos yhdellä tuhannesta on OIKEASTI siellä luurissa jotain todella TÄRKEÄÄ tietoa, ja sitten juuri SE sattuu hukkaamaan sen, niin onko kovin todennäköistä että sen löytää sattumalta juuri SE pikku rikollinen nörtti, kellä edes tulee mieleen alkaa sörkkiä sitä jollain neulalla, puhumattakaan tuosta monimutkaisesta ja sattumaakin vaativasta tehtävästä, ellei sitten juuri ole lukenut tuota juttua :-)
    Ja sitten taas JOS se varastetaan, eli juuri se luuri missä on sitä todella TÄRKEÄÄ tietoa, niin se että juuri SE varas sattuisi olemaan tarpeeksi älykäs (nuo linnavenkulat harvemmin sitä on) edes laittaa pois niitä sijaintipalveluja, eli poistaa mahdollisuuden etätyhjennykseen, on ERITTÄIN epätodennäköistä. Eli tahtoo sanoa että on aika monta surkeaa sattumaa ennen kuin mitään kauheata voi tapahtua.
    Ja ettei Android ja Windows ihmiset luule että tämä on iPhone puolustus puhe niin tuo sama mielestäni pätee kaikkiin noihin lukemiini “tietoturva aukkoihin” eri laitteissa ja “käyttiksissä” :-)

  13. Hmm on helmikuu 23, 2012 0:04

    Symbian ei oo kylla ikina ollu turvallinen :D ainakaa mita omassa kaytossa. Bluetooth viirukset sun muut troijanit noissa laitteissa ollu. Tieda sitten nykyaa. Myin oman nokian koska oli todellinen pettymys, kaikinpuolin hyva mutta tosielamassa ja kaytossa todella surkea/lagaileva/kaatuileva.. Kyseessa E7

  14. Mentiin pitkälle on helmikuu 23, 2012 0:40

    Hetkinen.. Ihmiset hei, mielestäni tämä “aukko” on hyvä asia, koska nyt Apple on tietoinen tästä ja korjaa tuon! Mitä tulee noihin muihin, niin harvemmin kukaan jaksaa edes yrittää löytää heikkouksia eikä niitä silloin korjata.

    Nörtit sanokoon mitä haluaa, mutta kyllä tämä iPhone on vaan paras!! Oli sitten tietoturva tai käytettävyys kyseessä.. :)

  15. dumdidum on helmikuu 23, 2012 10:59

    :DD
    Luonnollisesti apple fanboyt kääntävät tämänkin hyväksi ominaisuudeksi/asiaksi :DDDDDDDDD

  16. Arkkienkeli on helmikuu 23, 2012 11:02

    Etänä suoritettavasta paikannuksesta ja/tai tyhjennyksestä ei ole mitään apua, jos puhelimesta ottaa SIM-kortin pois ja korvaa sen vaikka prepaid-liittymällä jossa ei ole datansiirtoa. Ja vielä kun asetuksista estää langattomiin verkkoihin liittymisen niin data pysyy puhelimessa ja ei katoa minnekään.

  17. heikki on helmikuu 23, 2012 12:16

    Ei myöskään unohdeta, että tämän aukon kautta ei päästä käsiksi kaikkeen dataan. Vain yhteystietoihin.

  18. Hemmo on helmikuu 23, 2012 22:54

    Etänä suoritettavasta paikannuksesta ja/tai tyhjennyksestä ei ole mitään apua, jos puhelimesta ottaa SIM-kortin pois ja korvaa sen vaikka prepaid-liittymällä jossa ei ole datansiirtoa. Ja vielä kun asetuksista estää langattomiin verkkoihin liittymisen niin data pysyy puhelimessa ja ei katoa minnekään.”

    Mielestäni sen ei kyllä tarvi olla missään verkossa jos sen haluaa tyhjentää, ja ainakin minä tyhjentäisin sen saman tien kun toteaisin hukatuksi tai varastetuksi.
    Ja jos ei ole ennen omistanut iPhonea, niin ei kyllä käy ihan helposti keltään känni-ääliöltä tuo kortin vaihto tai oikeiden asetusen räplääminen.

  19. Apuser on helmikuu 24, 2012 10:19

    “Mitä tulee nokian E sarjan ongemiin, suurin ongelma on nyt tietysti se että elämme murros vaihettä ja WP laitteet korvaavat symbian laitteet. Suurin symbianin ongelma oli huono maine jollain markkinoilla ( = USA) sekä käytettävyydessä tultiin heiman perässä. Ongelmana eivät ole olleet mitkään listaamasi rauta ongelmat tms. Edelleen esimerkiksi Nokia E7 on loistava yritys puhelin vieläkun siihen päivittää hiljattain julkaistun Nokia Bellen”

    Symbianin huono maine tuli siitä, että se on huono. Sen huono maine on siis ansaittua, ei mikään PR-moka. No Bellestä en vielä paljoa uskalla sanoa, mutta kyllä ne ongelmat ovat oikeasti sitä että ei vaan toimi. Aika usein pitää esim. E7:aa rassata kun kalenteri ei synkkaa, vaikka sähköpostit toimii jne. Tili pois ja tili takaisin, tätähän se on arki. Täyttä kuraa on ollut Symbianin Exchange-tuki aina, tilanne on kyllä parantunut pikku hiljaa mutta kilpailijat ovat menneet aikaa sitten ohi. E7:ja menee oikeasti myös todella paljon korjaukseen, mihin tahansa muuhun verrattuna. Tästä ei ole minulla mitään virallisia tilastoja, oma perstuntuma vain kun paljon olen tekemisissä myös puhelimien kanssa.

    “Mielestäni iphone ei ole mitenkään keskivertoa turvallisempi, päinvastoin. Kuten tässäkin keskustelussa on jo tuotu esiin useampi vakava tietoturva aukko.”

    Tarkemmin mitkä aukot? “useampi vakava”? Valaisetko vielä.

    “Joten se tietoturva lähtee myös paljon sieltä käyttäjästä itsestään.”

    Sieltähän se aina lähtee, kaikki alustathan ovat turvallisia jos niitä ei käytä ollenkaan. Hyvä tietoturva lähtee siitä, että käyttäjä ei voi tehdä typeryyksiä.

  20. Esa Kuitunen on helmikuu 25, 2012 1:39

    Kokeilin omalla iPhonellani tuota ja pääsin kyllä käsiksi kaikkiin tietoihinni ilman koodia.

    Pitäkäähän iPhonet turvassa!

Ole hyvä ja jätä kommentti.
Kommentteihin voi lisätä myös gravatarin.





Bottom