Hakkeri löysi tavan kaapata Applen iOS-laitteet

22
Manu Pitkänen

Hakkeri löysi tavan kaapata Applen iOS-laitteet
Accuvant LABSin tutkija Charlie Miller on löytänyt tavan, jolla Applen iOS-laitteet (esim. iPhone) on mahdollista kaapata aivan yhtiön nenän edessä.

Apple on pystynyt tähän asti välttymään haittaohjelmilta erittäin onnistuneesti tehokkaan sovellustarkistuksen ansiosta. Normaalisti yhtiön musiikkisoittimiin, puhelimiin tai tabletteihin ei voi asentaa ohjelmia muuta kuin App Store -sovelluskaupasta. Ennen App Storeen pääsyä Apple tarkistaa sovelluksen ja varmistuu siitä, ettei ohjelmasta löydy haitallista koodia.

Miller on onnistunut löytämään tavan, jolla sovelluskauppaan saadaan ujutettua lailliselta vaikuttava ohjelma. Sovelluksen asentamisen jälkeen laitteeseen on mahdollista asentaa tarkastamatonta koodia, jolla puhelin voidaan ottaa haltuun.

Todistukseksi Miller on lisännyt App Storeen aukkoa hyödyntävän ohjelman ja esittelee sitä YouTubessa julkaistulla videolla. Apple on sulkenut Millerin kehittäjätilin asian ilmitulon jälkeen ja poistanut sovelluksen App Storesta.



Tilaa Puhelinvertailun uutiskirje!

Lähetämme noin kerran viikossa uutiskirjeen, joka sisältää viikon ajalta tärkeimmät uutisemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Parhaat kännykkätarjoukset

HMD Skyline – hinta laskenut -40%

HMD Skyline
299 € Elisa
399 € Power
399 € DNA

Alin hinta viikko sitten: 499 €

Honor 90 Lite – hinta laskenut -34%

Honor 90 Lite
99 € Elisa
99 € DNA
169 € Euronics

Alin hinta viikko sitten: 149 €

Motorola Moto E13 – hinta laskenut -34%

Motorola Moto E13
59 € Telia
82 € Teknikproffset
89 € Power

Alin hinta viikko sitten: 89 €

Motorola Edge 50 – hinta laskenut -33%

Motorola Edge 50
399 € Elisa
478 € Proshop
594 € Verkkokauppa.com

Alin hinta viikko sitten: 594 €

Kommentit (22)

ArttuH5N1
ArttuH5N1

3

Lainaus, alkuperäisen viestin kirjoitti jepajuudas:

Enään tarvitaan Mikkiksen ja Jonahanin selittelyt.


3... 2... 1...

Mutta mielestäni Apple voisi ottaa tuohon veikkosiin yhteyttä ennemmin positiivisissa merkeissä. Hänhän teki palveluksen, löytämällä aukon ja sitten esittelemällä sitä. Jonain synkkänä yönä, synkkä mies synkkine suunnitelmineen olisi saattanut käyttää tuota haavoittuvuutta hyväkseen.

Vastaa
Anonyymi käyttäjä
Sillattiis (vahvistamaton)

6

Harvemmin on Applea käsittelevässä uutisessa näin vähän kommentteja. :)

Vastaa
Jonahan
Jonahan

7

@2

En tiedä mitä pitäisi selittää, iPhoneissa voi olla vikoja, kuten muussakin elektroniikassa.

@3

Veikkonen tuntui lähinnä markkinoivan itseään. Jos tarkoituksena on löytää tietoturva-aukkoja ja raportoida niistä voi sen tehdä muullakin tavalla kuin mitä Miller teki. Oikea tapa toimia ei ole laittaa turvatonta softaa kauppaan, kertoa Applelle aukosta (huom, ei softasta!) vasta kuukautta myöhemmin ja jättää softa kauppaan.

Kun Apple löysi käyttöehtoja rikkovan softan kaupasta, se poistettiin ja ehtoja rikkovan kehittäjän tili suljettiin. Prosessi siis toimi loppujen lopuksi kuten pitääkin. Vai miten olisi pitänyt toimia?

Vastaa
ArttuH5N1
ArttuH5N1

8

@7 Tulihan se sieltä! Mietinkin jo, että selvitäänkö tällä kertaa muka ilman tätä... Noh, ilman tätä. Mutta sopii myös kysyä, oliko keino, millä hän aukon löysi, myös laiton? Hui kauhistus, jos oli! Nimittäin sinun logiikkasi mukaan, tuon ilmeisen itserakkaan lähes-rikollisen olisi pitänyt jättää kyseinen aukko löytämättä.

Vastaa
Jonahan
Jonahan

9

@8

En ole lakimies, mutta en kyllä keksi miksi se olisi ollut laitonta. Enkä todellakaan esittänyt, että olisi pitänyt jättää turva-aukko löytämättä. Hyvä tapa olisi velvoittanut vähän eri toimintamalliin.

Et valitettavasti muistanut kertoa miten Applen olisi pitänyt toimia. Jättää softa jakoon ja päästää Miller sanktioitta? Onhan käyttöehtojen rikkominen ihan OK, kunhan on raportoinut keinot mitä haittaohjelmissaan käyttää, mainitsematta että sellaisia on jaossa.

Vastaa
ArttuH5N1
ArttuH5N1

10

@9 En ole lakimies, mutta tuollainen on aivan varmasti laitonta. Käyttöehtosopimus yms. ovat "melko" tiukkoja, etenkin iLaitteiden kohdalla.

Koska et selkeästi lukenut ensimmäistä viestiäni kunnolla, laitan tähän lainauksen: "Mutta mielestäni Apple voisi ottaa tuohon veikkosiin yhteyttä ennemmin positiivisissa merkeissä.". En väittänyt, että Apple toimi väärin, (vaikka yritätkin sanoja tunkea suuhuni, jälleen...) vaan toivoin, että he ottaisivat aukon löytäneeseen mieheen yhteyttä positiivisissa merkeissä. Toki on ymmärrettävää, että softa poistettiin jne, mutta on myös ymmärrettävää, että aukon löytänyt henkilö halusi sitä demota. Muilla yhtiöillä on lukuisiä esimerkkejä kiitoksista aukon löytäneille. Selaamalla AD:n uutisia, löydät varmasti muutamia.

"Onhan käyttöehtojen rikkominen ihan OK..." Hmmm... okei?

Vastaa
Jonahan
Jonahan

11

@10

Sopimusrikkomus ja lain rikkominen ovat kaksi eri asiaa. Lait koskevat kaikkia yhdenvertaisesti, ne eivät ole erilaisia iLaitteiden kohdalla. Tiedän mitä kohtaa kehittäjäsopimuksesta Miller rikkoi, mutta kertonet minulle mitä *lakia* Miller on rikkonut?

Et väittänyt, että Apple toimi väärin, Apple olisi mielestäsi kuitenkin toimia toisin ("ottaa yhteyttä ennemmin positiivisissa merkeissä"), jota et halua vieläkään tarkentaa.

Et selkeästi lukenut viestejäni kunnolla, Applen toimenpiteet Milleriin liittyen olisivat aivan erilaisia jos hän olisi "muistanut" mainita kaupassa olevasta softasta ja/tai hän olisi poistanut sen omatoimisesti onnistuneen testinsä jälkeen, eikä jättänyt sitä sinne kuukaudeksi tai pariksi.

Vastaa
ArttuH5N1
ArttuH5N1

12

@11, "Sopimusrikkomus ja lain rikkominen ovat kaksi eri asiaa." Ah, tuossa on minulla mennyt puurot ja vellit sekaisin. Jenkkilaki tosin on hieman epäselvä käyttöehtosopimuksista, harmillisesti. Joten saatoin olla vahingossa oikeassa? :D http://goo.gl/ZT253

"jota et halua vieläkään tarkentaa. "
No voi että. Yritin ohjata sinua oikeaan suuntaan tuolla aikaisemmassa viestissä. Olisit nyt vaivautunut edes katsomaan niitä uutisia. Mutta toisaalta, uskoisi jo riittävän, kun aikaisemmin kirjoitin "kiitoksista". Tuskin tarvitsee enempää vääntää rautalangasta? (Ja mielestäni kiitoksen arvoinen asia tuossa on, että hän ei hyödyntänyt aukkoa omaksi edukseen. Vaikkapa tunkeutumalla muiden laitteisiin. Toki, hän olisi voinut toimia VIELÄ paremmin! Ooh!)

"Applen toimenpiteet Milleriin liittyen olisivat aivan erilaisia jos hän olisi "muistanut" mainita kaupassa olevasta softasta"
Olisivatko? Tästä on varmasti antaa joku ennakkotapaus? :O Itse löysin googlaamalla vain humoristisia viestejä Applen tukifoorumilla, missä ihmiset pyytävät "hakkeroimaan" koneensa. Tosin, jos hän olisi toiminut (sinun mukaasi) täysin oikein, emme me olisi tästä aukosta koskaan kuulleetkaan.

Vastaa
ArttuH5N1
ArttuH5N1

13

Toisaalta, onko tämä tilanne jo "ohi"? Itse uskoisin, että tästä tulee vielä jotain jatkoseurauksia. En sitten tiedä, tuleeko sieltä vihaisia emaileja aukon julkistamisesta vai mitä.

Vastaa
Anonyymi käyttäjä
Mmikkis (vahvistamaton)

14

Tänään julkaistu iOS5 korjasi tämän tietoturva-aukon. Sepäs kävi nopeaan.

Vastaa
Jonahan
Jonahan

15

@13 sinulla on kieltämättä puurot ja vellit vähän sekaisin, Miller ei missään vaiheessa julkistanut aukkoa (sillä tarkkuudella että sitä kukaan muu voisi käyttää). Tämän hän teki kuten pitääkin, uskottavaa syytä "unohdukseen" ja vaarallisen softan pitoon kaupassa näin pitkään en ole nähnyt kaverilta itseltään (Twitter) tai muun arvaamana.

@12 ainakin usean OSX julkaisun mukana on toimitettu lista aukkojen löytäjistä (muutama omakin tuttu löytyy niiltä listoilta), en muista sanamuotoa, mutta löytäjän nimeäminen on tuolla alalla se kiitos jota haetaan.

Aukon hyödyntämättömyys sinällään ei ole kiitoksen arvoinen, sellaisen yrittäminen veisi Millerin todennäköisesti vankilaan ja hänen duuninsa turvallisuusbusineksessä olisi, jos ei ohi niin ainakin paljon hankalampaa.

Vastaa
ArttuH5N1
ArttuH5N1

16

@15 No voi huoh. ["Toisaalta, onko tämä tilanne jo "ohi"? Itse uskoisin, että tästä tulee vielä jotain jatkoseurauksia. En sitten tiedä, tuleeko sieltä vihaisia emaileja aukon olemassaolon kertomisesta vai mitä.] Korjasin tuon kammottavan virheen sinun mieliksesi.

Ja et sitten viitsinyt tuosta kiitoksista kertoa ensimmäisessä viestissä? Meinaan, sitä tuossa ensimmäisessä viestissä toivoin, että tekisivät jotain EDES tuollaista. Toki kylläkin minäkin olisin vihainen, kun niinkin (ihmisten silmissä) täydellisestä systeemistä löytyy aukko, ja siitä vieläpä uutisoidaan.

Mutta kuten viestissä 13 mainitsin, (saattoi mennä sinulta ohi, siinä kun oli häiritsevä virhe), tuskin "tilanne on vielä ohi". Jäädään seuraamaan tilannetta.

Vastaa
Jonahan
Jonahan

17

@16 Ajatuksiasi on hyvin vaikea lukea. Et pyytänyt ensimmäisessä viestissäsi mitään ennakkotapauksia, vaan keskityit tähän kyseiseen caseen. Tästä tapauksesta Miller ei kokonaisuutena ole kauheasti kiitoksia ole ansainnut, syyt kerrottu jo moneen kertaan.

Jotta et olisi jatkossa yhtä yössä asiaan liittyen voit vilkaista vaikka tätä:

http://support.apple.com/kb/HT4723

Viestistäsi ei valitettavasti käy selville kuka tai mikä on mielestäsi ollut vihainen aukon löytymisestä tai uutisoinnista.

Vastaa
Bluejack
Bluejack

19

ArttuH5N1
älä välitä .. ei jonahanin kaltaisia käyttäjiä haittaa tietoturva, kun omenahan kuoressa riittää takeeksi kaikessa ;) se ikäänkuin palvelee kaikkea tätä ja enemmän. xd v****

Vastaa
Jonahan
Jonahan

20

@19

Olet väärässä, omena ei riitä takeeksi yhtään mistään. Muut väitteesi olivat niin epäselviä, että niihin ei edes voi vastata.

Muistaakseni kehoitin sinua joskus aiemmin selkeämpään ja perustellumpaan kirjoitustapaan, toivon sitä edelleen.

Vastaa
ArttuH5N1
ArttuH5N1

21

@17 Ah, viestisi yrittää ihanan hienovaraisesti loukata minua. Se on juuri se juttu, joka saa aina palaamaan nettikeskustelujen pariin :D

"Viestistäsi ei valitettavasti käy selville kuka tai mikä on mielestäsi ollut vihainen aukon löytymisestä tai uutisoinnista."
No oletettavasti Apple (jos sen nyt näin kokonaisuutena voi sanoa). Mikä on kyllä ymmärrettävää. Mielikuva iOS:stä kun on kaikki kaikessa.

Vastaa
djtob
djtob

22

@Johahan. Älä selitä, selität asiat paljon huonommin puolustaessasi Applen huonoa tietoturvaa. Mitä enemmän alat selittämään, sitä enemmän tartun Nokialaiseen. Senhän me tiedämme kenen puolella olet.

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.