Tiedotteet
Korjaus tiedotteeseen - Kuluttajamodeemien valmistajilla puutteita verkon tietoturvariskien ymmärtämisessä
Korjaus aiemmin tänään toimittamaan tiedotteeseemme:
Tiedotteessamme käsitelty A-Linkin laite ei ole modeemi, kuten tiedotteessa virheellisesti mainittiin, vaan reitittävä WLAN-tukiasema.
Tuote kuitenkin on kuvatulla tavalla haavoittuva ja yleinen kuluttajalaite langattomissa kotiverkoissa. Louhi Networksin huoli vanhentuneiden web-hallintaliittymien yleisestä käytöstä koskee siis sekä modeemeja että tukiasemia, jotka yhä useammin ovat samoissa kuorissa integroidusti.
Pahoittelemme tiedotteeseen eksynyttä virhettä.
Alla tiedotte korjattuna.
Louhi Networks
--
Lehdistötiedote 5.11.2008
Louhi Networks, Helsinki
Kuluttajamodeemien valmistajilla puutteita verkon tietoturvariskien ymmärtämisessä
Louhi Networksin tietoturva-asiantuntijat ovat löytäneet A-Linkin WLAN-reitittimestä haavoittuvuuden, jonka avulla verkkorikollisen on mahdollista päästä käsiksi jopa kuluttajan pankkitunnuksiin ja tilitietoihin.
A-Linkin valmistamasta WLAN-tukiasemassa (mallit WL54AP2 ja WL54AP3, versiota 1.4.2 aiemmat versiot) on löytynyt vakava haavoittuvuus, joka mahdollistaa laitteen hallintaliittymän vihamielisen haltuunoton. Haavoittuvuuden löysivät Louhi Networksin tietoturva-asiantuntijat.
Haavoittuvuus mahdollistaa pankkitietojen kalastelun
Jos haavoittuvan modeemin tai tukiaseman omistava kuluttaja surffaa tai eksyy verkkorikollisen ylläpitämälle sivustolle tai palveluun, rikollisen on mahdollista ottaa haltuunsa laitteen hallintaliittymä. Tämä taas mahdollistaa laitteen asetusten muuttamisen siten, että kuluttaja ohjataan hänen huomaamattaan rikollisten ylläpitämälle lumesivustolle silloinkin, kun kuluttaja luulee asioivansa tutussa ja turvallisessa palvelussa, esimerkiksi oman pankkinsa verkkopalvelussa. Lumesivustolla rikollisen on helppo kalastaa tietoonsa kuluttajan verkkopankkitunnukset.
– Aiemmin tänä vuonna Mexicossa paljastui Banamex-pankin asiakkaisiin kohdistunut laaja huijaus, jossa pankkitunnuksia oli onnistuttu kalastelemaan kuluttajalaitteiden haavoittuvuuksia hyödyntämällä, kertoo Louhi Networksin haavoittuvuustutkija Henri Lindberg varoittavana esimerkkinä.
– Kovin harva kuluttaja osaa tai muistaa katsoa, onko tutulta näyttävä nettisivu oikea vai lumesivu, ennen kuin syöttää kirjautumiskenttiin tunnuksensa ja salasanansa, harmittelee haavoittuvuustutkimukseen osallistunut Louhen tietoturva-asiantuntija Jussi Vuokko.
Yleisimmissä selaimissa oikeellisuuden kertoo esimerkiksi lukon kuva selaimen oikeassa alakulmassa (Microsoft Internet Explorer -selain) tai lukon kuva osoitekentän oikeassa laidassa ja osoitekentän värin muuttuminen (Mozilla Firefox).
Laitevalmistajien ymmärryksessä puutteita
Lindbergin ja Vuokon mukaan syynä haavoittuvuuksien löytymiseen on erityisesti se, etteivät kaikki laitevalmistajat ymmärrä web-sovellusturvan merkitystä. A-Linkin lisäksi Louhi Networksin asiantuntijat ovat löytäneet vastaavia haavoittuvuuksia mm. ZyXellin, Buffalon ja Checkpointin laitteista.
– On valitettavaa, että jopa johtavat laitevalmistajat heräävät web-sovellusturvallisuuteen vasta vahinkojen tapahduttua. Web-hallintaliittymiä ei päivitetä tarpeeksi usein, vaan vanhentuneita liittymäsovelluksia asennetaan laitteisiin surutta liian pitkään, Lindberg moittii laitevalmistajia.
Teknisesti A-Linkin tapauksessa on kyse niin sanotuista CSRF (Cross-Site Request Forgery) ja XSS (Cross-Site Scripting) -haavoittuvuuksista. Oletuskonfiguraation ja löydettyjen haavoittuvuuksien avulla laite on mahdollista konfiguroida uudelleen esimerkiksi tunnuksen, salasanan tai nimipalvelutietojen osalta. Laitteeseen on mahdollista myös syöttää Javascript-haittaohjelmaa kiusantekomielessä.
Louhi Networks kehottaa kaikkia haavoittuvan laitteen omistavia päivittämään laitteen ohjelmiston valmistajan sivuilta sekä huolehtimaan siitä, että hallintaliittymän oletussalasanat ovat vaihdettu käyttäjän itse määrittämiksi.
Lisätietoja
Henri Lindberg
Haavoittuvuustutkija, Louhi Networks
Puh. 050 500 3042
henri.lindberg@louhi.fi
ja
Jussi Vuokko
Tietoturva-asiantuntija, Louhi Networks
Puh. (09) 2512 2152
jussi.vuokko@louhi.fi
Louhi Networksin raportti haavoittuvuudesta:
http://louhi.fi/advisory/alink_081028.txt
Viestintäviraston CERT-FI-tietoturvayksikkö:
http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-133.html
Louhi Networks on IT-ylläpitopalveluihin ja tietoturvaratkaisuihin keskittynyt palveluyritys. Louhi auttaa yrityksiä keskittymään omaan liiketoimintaansa mahdollistamalla tietoturvalliset ja huolettomat IT-ratkaisut. Louhi on osa voimakkaasti kasvavaa Smilehouse-konsernia, johon kuuluvat myös Smilehouse Oy, Smilehouse Baltic Oü ja Karttago Oy. Konsernin liikevaihtoarvio vuodelle 2008 on 5,5 M€.
Arkisto
- Snoobi ja Google Analytics vuoden käytetyimmät kävijäseurantajärjestelmät (17.12)
- KliKKi valittiin Google Analytics -kumppaniksi (03.12)
- Tutkimuksen mukaan yli puolet suomalaisista tekee jouluhankintoja netistä (28.11)
- Alan Wake -sivustolle "Site Of The Day" (27.11)
- UUSI LEHTILUUKKU.FI -PALVELU TARJOAA LEHDET DIGITAALISENA (25.11)
- WebCertain:in uusi Multilingual PR Forum tarjoaa keskusteluareenan kansainvälisistä online PR-kampanjoista kiinnostuneille (21.11)
- Laskulla -verkkokaupan suosituin maksutapa nyt Suomessa (20.11)
- Tutkimus vahvistaa: Asiakaskokemus ratkaisee verkkokaupan menestymisen (18.11)
- Korjaus tiedotteeseen - Kuluttajamodeemien valmistajilla puutteita verkon tietoturvariskien ymmärtämisessä (05.11)
- Kuluttajamodeemien valmistajilla puutteita verkon tietoturvariskien ymmärtämisessä (05.11)
- Lisää tiedotteita
Julkaise tiedote
Digimedia-alan yritykset voivat nyt julkaista tiedotteitaan RE:ssä. Toimitus ei muokkaa tiedotteita, vaan ne julkaistaan sellaisenaan. RE ei vastaa tiedotteiden sisällöstä. Aihe tiedottamiseen on vapaa mutta toivomme, että puhtaat rekrytointi-ilmoitukset säästetään omalle RE:kry palstalleen.
Julkaise tiedotteesi täällä