Salasanojen tallennusohjelmat ovat haavoittuvia sisäpiirihyökkäyksille
Aalto-yliopiston ja Helsingin yliopiston tutkijat ovat löytäneet salasanojen hallintaohjelmista sekä useista muista tietoturvan kannalta kriittisistä ohjelmistoista haavoittuvuuksia, jotka mahdollistavat esimerkiksi työtovereiden, perheenjäsenten tai vieraiden hyökkäykset. Samankaltaisia aukkoja löytyi yli kymmenestä eri ohjelmistosta, joilla on miljoonia käyttäjiä maailmanlaajuisesti. Ongelmat koskevat Windows-, Linux- ja macOS-ohjelmistoja.
Tietokoneohjelmistot koostuvat prosesseista, joilla on eri tehtäviä. Esimerkiksi monissa salasanojen hallintaohjelmistoissa on kaksi erillistä osaa: salasanaholvi ja laajennus verkkoselaimeen. Tiedon välitystä osien välillä kutsutaan prosessien väliseksi kommunikaatioksi (inter-process communication, IPC). Se tapahtuu käyttäjän oman tietokoneen sisällä, ja sitä on pidetty turvallisena. Ohjelmiston pitäisi kuitenkin suojata IPC-kanava muilta samalla tietokoneella olevilta ohjelmilta ja prosesseilta. Muuten tahallaan tai vahingossa käynnistetyt haittaohjelmat saattavat päästä IPC-kanavassa kulkeviin salasanatietoihin käsiksi.
”Löytämiemme haavoittuvien ohjelmistojen suuri määrä osoittaa, että ohjelmistokehittäjät eivät huomioi tietoturvallisuutta prosessien välisessä kommunikaatiossa. Ohjelmistokehittäjät eivät välttämättä tunne kommunikaatioon liittyviä tietoturvaratkaisuja tai he olettavat tietokoneen olevan täysin suojattu ympäristö. Joka tapauksessa molemmat selitykset ovat huolestuttavia. Vastaavia ongelmia löytyy luultavasti lisää”, sanoo Aalto-yliopiston professori Tuomas Aura.
IPC-kommunikaatiota käyttäviä ohjelmistoja vastaan voi hyökätä kuka tahansa, jolla on pääsy samalle tietokoneelle. Esimerkiksi yrityksissä keskitetty käyttäjähallinta mahdollistaa kaikkien työntekijöiden kirjautumisen mille tahansa tietokoneelle. Tällaisessa ympäristössä jokaisella yrityksen työntekijällä on periaatteessa mahdollisuus väärinkäytöksiin. Hyökkääjä voi myös kirjautua koneen vierailijatilille tai käyttää konetta verkon yli, jos etäyhteyden ottaminen koneeseen on mahdollista.
”Monenlaiset turvallisuuskriittiset ohjelmistot, kuten salasanojen hallintaohjelmistot, eivät varmista IPC-kanavan turvallisuutta. Silloin mikä tahansa tietokoneella pyörivä ohjelma pääsee käsiksi kommunikaatiokanavaan. Salasanojen tallennusohjelmistoista voi esimerkiksi varastaa salasanoja ja käyttäjätunnuksia”, sanoo tutkijatohtori Markku Antikainen Helsingin yliopistosta.
Suomalaisten kannalta merkittävin haavoittuvuus löytyi DigiSign-kortinlukijaohjelmistosta, jota Väestörekisterikeskus tarjoaa esimerkiksi sähköisen henkilökortin ja terveydenhuollon ammattikortin käyttäjille. Lääkärin tietokoneelle pääsevä henkilö voisi hyödyntää tutkimuksessa löydettyjä haavoittuvuuksia. Esimerkiksi lääkemääräyksiä voisi väärentää muuttamalla IPC-kanavassa yhdestä ohjelmiston osasta toiseen allekirjoitettavaksi lähetettyä reseptiä.
”Tietääksemme DigiSign-ohjelmiston haavoittuvuuksia ei ole hyödynnetty ja käytetty väärin. Olemme raportoineet ongelman Väestörekisterikeskukselle, ja se on huomioitu ohjelmiston uusimmissa versioissa”, Antikainen kertoo.
Kaikki tutkimuksessa löydetyt tietoturvaongelmat on raportoitu ohjelmistojen tekijöille. Tutkimus on tehty osin yhteistyössä tietoturvayritys F-Securen kanssa.
Tulokset esitellään DEFCON-tietoturvakonferenssissa 12.8.2018 sekä Usenix Security -konferenssissa 17.8.2018. Julkaisu on saatavissa kirjoittajilta sekä Usenix-konferenssin jälkeen osoitteesta https://www.usenix.org/conference/usenixsecurity18/presentation/bui.
Avainsanat
Yhteyshenkilöt
Tuomas Aura, professori
Aalto-yliopisto
puh. 050 308 1702
tuomas.aura@aalto.fi
Markku Antikainen, tutkijatohtori
Helsingin yliopisto
markku.antikainen@helsinki.fi
puh. 050 339 6900
Linkit
Tietoja julkaisijasta
Aalto-yliopistossa tiede ja taide kohtaavat tekniikan ja talouden. Rakennamme kestävää tulevaisuutta saavuttamalla läpimurtoja avainalueillamme ja niiden yhtymäkohdissa. Samalla innostamme tulevaisuuden muutoksentekijöitä ja luomme ratkaisuja maailman suuriin haasteisiin. Yliopistoyhteisöömme kuuluu noin 13 000 opiskelijaa ja yli 4 500 työntekijää, joista 400 on professoreita. Kampuksemme sijaitsee Espoon Otaniemessä.
Tilaa tiedotteet sähköpostiisi
Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat tiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.
Lue lisää julkaisijalta Aalto-yliopisto
Nimitys: Aalto-yliopiston kehitysjohtajaksi Raili Pönni26.3.2024 16:32:11 EET | Tiedote
Raili Pönni on toiminut aiemmin yliopiston suunnittelupäällikkönä ja väliaikaisena kehitysjohtajana.
Aalto-yliopisto erottui edukseen kansallisissa ja kansainvälisissä arvioinneissa vuonna 202321.3.2024 13:41:01 EET | Tiedote
Aalto-yliopiston hallitus hyväksyi kokouksessaan 19.3.2024 hallituksen toimintakertomuksen ja tilinpäätöksen vuodelta 2023. Vuonna 2023 Aalto-yliopisto erottui edukseen sekä kansallisissa että kansainvälisissä arvioinneissa ja yliopistovertailuissa. Keväällä yliopisto läpäisi Kansallisen koulutuksen arviointikeskuksen (Karvi) toteuttaman laatujärjestelmän auditoinnin ja sai arvion erinomainen kaikilta arviointialueilta. Aalto nousi Suomen ykköseksi kansainvälisen QS-rankingin kokonaisvertailussa ja oli koko maailmassa sijalla 109. Alakohtaisissa vertailuissa taide ja muotoilu oli sijalla 6 maailmassa. Times Higher Education arvioi Aalto-yliopiston maailman 53. kansainvälisimmäksi yliopistoksi ja maailman 40. parhaaksi nuoreksi (alle 50-vuotiaaksi) yliopistoksi. Suomen Akatemian vuosittaisessa Tieteen tila -arvioinnissa Aalto-yliopiston kaikki keskeiset tutkimusalat ylittävät julkaisutoimintansa vaikuttavuudessa top 10 -indikaattorilla arvioituna suomalaisten yliopistojen keskiarvon, ja
Taloustieteilijä: Vesivoiman luonnonvaravero toisi tuloja ja parantaisi ympäristön tilaa13.3.2024 08:45:00 EET | Tiedote
Luonnonvaravero olisi keino ohjata ympäristönsuojelusta aiheutuvia kuluja niin, etteivät ne koituisi yksin sähkönkuluttajien kontolle.
50 vuotta täyttävän radio-observatorion uudet teleskoopit valmistuivat – jatkossa saamme tarkempaa tietoa esimerkiksi aurinkokunnan liikkeestä Linnunradalla7.3.2024 11:30:00 EET | Tiedote
Teleskoopit avaavat uusia mahdollisuuksia monialaiseen avaruustutkimukseen ja -koulutukseen. Opiskelijoille on tarjoutunut ainutlaatuinen mahdollisuus suunnitella ja rakentaa monet teleskooppijärjestelmän keskeiset osat syöttötorvista antennien mekaniikkaan.
Tutkimus: Ihmisen toiminta ajanut maapallon makean veden kierron pois tasapainosta4.3.2024 12:00:00 EET | Tiedote
Ihmisen toiminta on muokannut rajusti makean veden kiertokulkua maailmanlaajuisesti esiteolliseen aikaan verrattuna.
Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.
Tutustu uutishuoneeseemme