Uutiset

Salasanojen tallennusohjelmat ovat haavoittuvia sisäpiirihyökkäyksille

Tietokoneen osien ja ohjelmistojen sisäinen kommunikaatio on altis tietoturvaongelmille. Hyökkäyksiä ja murtoja voi tehdä tai aiheuttaa kuka tahansa, jolla on pääsy samalle tietokoneelle.

Aalto-yliopiston ja Helsingin yliopiston tutkijat ovat löytäneet salasanojen hallintaohjelmista sekä useista muista tietoturvan kannalta kriittisistä ohjelmistoista haavoittuvuuksia, jotka mahdollistavat esimerkiksi työtovereiden, perheenjäsenten tai vieraiden hyökkäykset. Samankaltaisia aukkoja löytyi yli kymmenestä eri ohjelmistosta, joilla on miljoonia käyttäjiä maailmanlaajuisesti. Ongelmat koskevat Windows-, Linux- ja macOS-ohjelmistoja.

Tietokoneohjelmistot koostuvat prosesseista, joilla on eri tehtäviä. Esimerkiksi monissa salasanojen hallintaohjelmistoissa on kaksi erillistä osaa: salasanaholvi ja laajennus verkkoselaimeen. Tiedon välitystä osien välillä kutsutaan prosessien väliseksi kommunikaatioksi (inter-process communication, IPC). Se tapahtuu käyttäjän oman tietokoneen sisällä, ja sitä on pidetty turvallisena. Ohjelmiston pitäisi kuitenkin suojata IPC-kanava muilta samalla tietokoneella olevilta ohjelmilta ja prosesseilta. Muuten tahallaan tai vahingossa käynnistetyt haittaohjelmat saattavat päästä IPC-kanavassa kulkeviin salasanatietoihin käsiksi.

”Löytämiemme haavoittuvien ohjelmistojen suuri määrä osoittaa, että ohjelmistokehittäjät eivät huomioi tietoturvallisuutta prosessien välisessä kommunikaatiossa. Ohjelmistokehittäjät eivät välttämättä tunne kommunikaatioon liittyviä tietoturvaratkaisuja tai he olettavat tietokoneen olevan täysin suojattu ympäristö. Joka tapauksessa molemmat selitykset ovat huolestuttavia. Vastaavia ongelmia löytyy luultavasti lisää”, sanoo Aalto-yliopiston professori Tuomas Aura.

IPC-kommunikaatiota käyttäviä ohjelmistoja vastaan voi hyökätä kuka tahansa, jolla on pääsy samalle tietokoneelle. Esimerkiksi yrityksissä keskitetty käyttäjähallinta mahdollistaa kaikkien työntekijöiden kirjautumisen mille tahansa tietokoneelle. Tällaisessa ympäristössä jokaisella yrityksen työntekijällä on periaatteessa mahdollisuus väärinkäytöksiin. Hyökkääjä voi myös kirjautua koneen vierailijatilille tai käyttää konetta verkon yli, jos etäyhteyden ottaminen koneeseen on mahdollista.

”Monenlaiset turvallisuuskriittiset ohjelmistot, kuten salasanojen hallintaohjelmistot, eivät varmista IPC-kanavan turvallisuutta. Silloin mikä tahansa tietokoneella pyörivä ohjelma pääsee käsiksi kommunikaatiokanavaan. Salasanojen tallennusohjelmistoista voi esimerkiksi varastaa salasanoja ja käyttäjätunnuksia”, sanoo tutkijatohtori Markku Antikainen Helsingin yliopistosta.

Suomalaisten kannalta merkittävin haavoittuvuus löytyi DigiSign-kortinlukijaohjelmistosta, jota Väestörekisterikeskus tarjoaa esimerkiksi sähköisen henkilökortin ja terveydenhuollon ammattikortin käyttäjille. Lääkärin tietokoneelle pääsevä henkilö voisi hyödyntää tutkimuksessa löydettyjä haavoittuvuuksia. Esimerkiksi lääkemääräyksiä voisi väärentää muuttamalla IPC-kanavassa yhdestä ohjelmiston osasta toiseen allekirjoitettavaksi lähetettyä reseptiä.

”Tietääksemme DigiSign-ohjelmiston haavoittuvuuksia ei ole hyödynnetty ja käytetty väärin. Olemme raportoineet ongelman Väestörekisterikeskukselle, ja se on huomioitu ohjelmiston uusimmissa versioissa”, Antikainen kertoo.

Kaikki tutkimuksessa löydetyt tietoturvaongelmat on raportoitu ohjelmistojen tekijöille. Tutkimus on tehty osin yhteistyössä tietoturvayritys F-Securen kanssa.

Tulokset esitellään DEFCON-tietoturvakonferenssissa 12.8.2018 sekä Usenix Security -konferenssissa 17.8.2018.

Julkaisu on saatavissa kirjoittajilta sekä Usenix-konferenssin jälkeen osoitteesta https://www.usenix.org/conference/usenixsecurity18/presentation/bui.

Lisätietoja:

Tuomas Aura, professori
Aalto-yliopisto
puh. 050 308 1702
tuomas.aura@aalto.fi

Markku Antikainen, tutkijatohtori
Helsingin yliopisto
markku.antikainen@helsinki.fi
puh. 050 339 6900

  • Päivitetty:
  • Julkaistu:
Jaa
URL kopioitu

Lue lisää uutisia

Näytöllä 3D-aivokuva, jossa värikkäät hermoradat läpinäkyvässä pään mallissa
Tutkimus ja taide Julkaistu:

Haku on auki innovaatiotutkijatohtoriksi tekoälyssä

Palkallinen 12 kuukautta kestävä urapolku, jonka avulla voit muuttaa tohtorintutkimuksesi löydökset deep tech -startupiksi.
Colourful general image promoting Aalto Creatives pre-incubator programme
Kampus, Yhteistyö, Mediatiedotteet Julkaistu:

Aalto Creatives -esihautomon haku syksylle 2026 on auki

Seuraava Aalto Creatives -esihautomo alkaa syyskuussa. Hakuaika päättyy 7.9.2026. Aalto Creatives järjestää ohjelmasta kiinnostuneille infotilaisuuden torstaina 27.8. Infotilaisuudessa kuullaan ohjelmaan aiemmin osallistuneiden tiimien kokemuksia. Tapahtumassa on mahdollista tavata Aalto Creatives -tiimi ja kysyä hakemuksen jättämisestä.
Ulkoilmassa puiset leposohvat, joita ympäröivät harsot verhot ja korkeat kasvit rapistuvassa pihassa.
Yhteistyö, Mediatiedotteet, Tutkimus ja taide Julkaistu:

Suomalaistyöryhmän teos tuo viilentävän puutarhan helteissä kärvistelevään Espanjaan

Suomalaisten arkkitehtien ja taiteilijoiden ryhmä esittää puutarhataideteoksellaan kaupunkien kuumenemisen ja ympäristökriisin ratkaisuksi muun muassa kasvillisuutta ja yhteisöllisyyttä.
Pyöreä vaalea kennokuvioinen alusta ja punottuja koreja kirkkaansinisellä taustalla
Mediatiedotteet, Tutkimus ja taide Julkaistu:

Tutkijat paljastivat kaksi uutta suprajohdetta menetelmällä, jolla voi jatkossa löytää tuhansia lisää

Fyysikoiden tekoälyyn perustuvan menetelmän myötä suprajohtavuuden valtavat energiahyödyt ovat askeleen lähempänä