Uutta sivustolla

Tervetuloa takaisin!Edellisen käyntisi jälkeen Puhelinvertailuun on tullut .

Katso tapahtumat viime käyntisi jälkeen.

Apple ja Google päästivät läpi: Instagram-sovellus varasti puolen miljoonan käyttäjän tiedot

10
Manu Pitkänen

Apple ja Google päästivät läpi: Instagram-sovellus varasti puolen miljoonan käyttäjän tiedot
Apple ja Google ovat jakaneet sovelluskaupoissaan suosittua kolmannen osapuolen kehittämää Intagram-sovellusta, jonka havaittiin eilen illalla keräävän käyttäjien salasanoja ja tallentavan ne luettavassa muodossa tuntemattomalle palvelimelle. Haittaohjelman tavoin toiminut InstaAgent-sovellus on nyt poistettu App Storesta ja Google Playstä.

Kolmannen osapuolen asiakasohjelmien käyttö on aina huono idea. Aivan kuten tässäkin tapauksessa, ne voivat varastaa sinun kirjautumistietosi tai niiden suojaukset ovat muutoin niin heikot, että joku ulkopuolinen hyökkääjä voi pystyä murtautumaan ohjelman keräämiin tietoihin. Tällaisia tapauksia on nähty esimerkiksi Snapchatin kohdalla. On siis aina suositeltavaa käyttää palvelun kehittäjän tarjoamaa sovellusta.
Intagram-käyttäjiä houkuteltiin lataamaan InstaAgent lupaamalla paljastaa ketkä katsovat milloinkin sinun profiiliasi. Pelkästään Google Play Storen kautta sovellusta oli ladattu 100.000–500.000 kertaa. Ohjelma sijoittui Britannian, Kanadan ja Saksan App Store -kaupoissa ilmaisten ohjelmien listoilla hyvin.

Jos käytit kyseistä sovellusta, niin ohjelma kannattaa mahdollisimman pikaisesti poistaa puhelimesta ja vaihtaa sen jälkeen Instagram-salasana. Mikäli käytit samaa sanaa muissakin palveluissa, niin vaihda niidenkin salasanat (älä käytä enää samaa salasanaa).

Tapauksessa on syytä osoittaa sormea myös Googlen ja Applen suuntaan. Niiden ei pitäisi päästää tällaisia haittaohjelmia sovelluskauppoihinsa.


Kommentit (10)

user@org (vahvistamaton)

1

Lainaus:

Tapauksessa on syytä osoittaa sormea myös Googlen ja Applen suuntaan. Niiden ei pitäisi päästää tällaisia haittaohjelmia sovelluskauppoihinsa.


Tavallaa joo.
En ohjelman toiminnasta ihan saanut selko, uutisen perusteella vaikutti siltiä että ohjelmassa ei välttämättä mitään outoa toiminnallisuutta, ohjelman (ja sen palvelun) omien salasanojen käsittely ilmeisesti vähän heikohkoa, se jäi epäselväki mistä tiedetään että tallentaa luettavassa muodossa palvelimelle, jos ei edes tunneta palvelimen toimintaa, vai tarkoittaako tuo että siirretaan palvelimelle luetettavassa muodossa ?

Jos halutaan että Apple ja Google karsii moiset sovellukset ennakkoon, niin hyväksyntä prosessi harppaisia montapykällää vaativammaksi (kalliiksi) -> tiputtaisi pienen rusurssin kehittäjät auttamatta pois. Kannattaa muistaa että iOS osalta Applen kauppa ainoa jakelutie, Googlen Android osalta usein ainoa oletusasetuksin.

Vastaa
mniskane
mniskane

2

Vähän kovaa tekstiä kehittää välttämään indie developerien sovelluksia. Esimerkiksi Rudy Huyn on tehnyt upeita sovelluksia Windows Phonelle jotka ovat mahdollistaneet palvelujen käytön a) palvelun tarjoajan clienttia paremmalla sovelluksilla b) silloin kun virallista sovellusta ei ole.

Mielestäni yksi tämän ajan hienoista puolista on se, että lahjakkaat koodarit pystyvät luomaan ja levittämään ohjelmiaan - ei pelkästään megalomaaniset korporaatiot.

Vastaa
Jonahan
Jonahan

3

Lainaus, alkuperäisen viestin kirjoitti user@org:

mistä tiedetään että tallentaa luettavassa muodossa palvelimelle, jos ei edes tunneta palvelimen toimintaa, vai tarkoittaako tuo että siirretaan palvelimelle luetettavassa muodossa ?

Tarkoittaa, että softa lähettää käyttäjän tunnuksen ja salasanan selväkielisenä jonnekin.

Lainaus, alkuperäisen viestin kirjoitti user@org:


Jos halutaan että Apple ja Google karsii moiset sovellukset ennakkoon, niin hyväksyntä prosessi harppaisia montapykällää vaativammaksi (kalliiksi) -> tiputtaisi pienen rusurssin kehittäjät auttamatta pois.

Se riippuu ihan mitä "moisella" haluaa tarkoittaa. Jos puhutaan täsmälleen tämänkaltaisesta typeryydestä, ei sen testaaminen ole vaikeata. Proxy väliin ja katsotaan meneekö tunnus ja salasana selväkielisenä.

Toki jos puhutaan tällaisen toiminnan täydellisestä estämisestä, on se jokseenkin mahdotonta.

Vastaa
user@org (vahvistamaton)

4

Lainaus, alkuperäisen viestin kirjoitti Jonahan:

Lainaus, alkuperäisen viestin kirjoitti user@org:

mistä tiedetään että tallentaa luettavassa muodossa palvelimelle, jos ei edes tunneta palvelimen toimintaa, vai tarkoittaako tuo että siirretaan palvelimelle luetettavassa muodossa ?

Tarkoittaa, että softa lähettää käyttäjän tunnuksen ja salasanan selväkielisenä jonnekin.


Kiitos selvennyksestä.
Jos käyttänyt epäluotettuja yhteyksiä niin riski tosiaan on.
Ja kuvaaa se toki toimijan toimintatapoja, eli ei välttämättä muutenkaan luottamuksen arvoista.

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Se riippuu ihan mitä "moisella" haluaa tarkoittaa. Jos puhutaan täsmälleen tämänkaltaisesta typeryydestä, ei sen testaaminen ole vaikeata. Proxy väliin ja katsotaan meneekö tunnus ja salasana selväkielisenä.


Testaamisen kannalta varmaan hyvä jos liikenne on selväkielistä :-) .
mm. email, web selaimat + liuta muita poistuisi kaupoista.... jos tunnus ja/tai salasanoja ei saisi selväkielisenä liikkua.

Mutta juu, osa jutuista on automaattitesteissa testattavissa, mutta jos ohjelma tekee tietoisesti "vääriä" asioita, esim jos se pahuus tehdään muualla, esim se salasana kysytään käyttäjältä, salattuna lähetetään palvelimelle, jossa sitä sitten käistellään ehkä jopa vihamielisesti. jälkimmäisen testaamiine jo itsessään kallista, saati ulkopuolinen jatkuva valvominen.



Kannata edelleen useampitasoista hyväksyntää, jossa käyttäjä voi nähdä ja jopa rajata näkymään vain tarkemman ja vaativamman tarkastelun käyneet sovellukset. Jos sovelluksen latausmäärät kasvaa (leviää) niin tarkemman syynnin alaiseksi, riippumatta siitä haluaako julkaisia moista.

Vastaa
Jonahan
Jonahan

5

Lainaus, alkuperäisen viestin kirjoitti user@org:


Testaamisen kannalta varmaan hyvä jos liikenne on selväkielistä :-) .

Mitäköhän nyt mahdat tarkoittaa?

Lainaus:


mm. email, web selaimat + liuta muita poistuisi kaupoista.... jos tunnus ja/tai salasanoja ei saisi selväkielisenä liikkua.

Tunnus saa liikkua, salasana ei. Ja ihan aikuisten oikeasti mitään syytä salasanan lähettämiseen selväkielisenä serverille ei ole. Kuten ei salasanan tallennukseen serverillä.

Vastaa
user@org (vahvistamaton)

6

Lainaus, alkuperäisen viestin kirjoitti Jonahan:

Lainaus, alkuperäisen viestin kirjoitti user@org:


Testaamisen kannalta varmaan hyvä jos liikenne on selväkielistä :-) .

Mitäköhän nyt mahdat tarkoittaa?


välityspalvelimella voi tutkia salaamatonta paljon helpommin, siis helpompi tutkia sitä ohjelman liikennettä.
En tiedä tutkivatko, ja jos tutkivat niin tutkivatko myös salattuja.

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Tunnus saa liikkua, salasana ei. Ja ihan aikuisten oikeasti mitään syytä salasanan lähettämiseen selväkielisenä serverille ei ole.


Kaikki ei tue salausta, joten monien ohjelmien välttämätöntä tukea salaamatonta.

Jolloin suoranviivainen, salasana liikkuu selväkielisenä -> ohjelma pois. ei toimi.

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Tunnus saa liikkua, salasana ei.


Useissa tilanteissa myös se tunnuskin pitää salata, salaamaton käsittely ei siis aina salittua.

Jos ja kun silla kaupalla voi olla yksinoikeus sovelluste jakeluun, niin sen pitää olla myös aika vapaamielinen mitä kaupassa voi olla. Kun kyse vielä mailmanlaajuisesta touhusta, niin jossain joku voi olla laitonta, siinä missä se toisaalla on tapa.

Vastaa
Jonahan
Jonahan

7

Lainaus, alkuperäisen viestin kirjoitti user@org:


välityspalvelimella voi tutkia salaamatonta paljon helpommin, siis helpompi tutkia sitä ohjelman liikennettä.

Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.

Lainaus:


Kaikki ei tue salausta, joten monien ohjelmien välttämätöntä tukea salaamatonta.

Vuosi on 2015, järkevät syyt esim. https:n käyttämättä jättämiseen ovat erittäin vähissä ja Apple tiukentaa ohjeistustaan tämän suhteen koko ajan, ja valvoo sitä.

Lainaus:


Jolloin suoranviivainen, salasana liikkuu selväkielisenä -> ohjelma pois. ei toimi.

Vaikka koko liikennettä ei jostain ihmeellisestä syystä salattaisi ei salasanan lähetys selväkielisenä ole kuitenkaan suotavaa eikä tarpeellista, vaan ainoastaan laiskaa ja typerää.

Lainaus:


Useissa tilanteissa myös se tunnuskin pitää salata, salaamaton käsittely ei siis aina salittua.

En nyt taas ymmärrä pointtiasi. Tottakai sen tunnuksen saa salata, mutta aika usein se on enemmän tai vähemmän julkinen tai ainakin helposti arvattavissa, *toisin kuin salasana*, jota ei pidä lähettää ikinä selväkielisenä serverille, etenkään tunnuksen kanssa eikä sitä pidä ikinä tallentaman tietokantaan selväkielisenä.

Lainaus:


Jos ja kun silla kaupalla voi olla yksinoikeus sovelluste jakeluun, niin sen pitää olla myös aika vapaamielinen mitä kaupassa voi olla.

Ei tarvitse olla "vapaamielinen". Kauppaan pääsy ole mikään perustavaa laatua oleva oikeus. Ja missään tapauksessa ei pidä sallia käyttäjiä vaarantavia käytäntöjä, joiden puolesta yrität jostain ihmeellisestä syystä advokoida.

Apple kiristi verkkoliikenteen säädöksiä ios9:ssa ja uudessa OSX:ssa. Kiristää lisää tulevina vuosina. Ja ihan syystä.

Lainaus:


Kun kyse vielä mailmanlaajuisesta touhusta, niin jossain joku voi olla laitonta, siinä missä se toisaalla on tapa.

Salasanan lähetys selväkielisenä on ihan universaalisti typerää, ja varastaminen liki rikollista ei siihen ole mitään poikkeuksia.

Vastaa
user@org (vahvistamaton)

8

Lainaus, alkuperäisen viestin kirjoitti Jonahan:

Lainaus, alkuperäisen viestin kirjoitti user@org:


välityspalvelimella voi tutkia salaamatonta paljon helpommin, siis helpompi tutkia sitä ohjelman liikennettä.

Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.


En tiedä miten tuo laskit, ihan mutuna veikkaan että testaus menetelmien tekemiseen on käytetty paljon aikaa.
Välityspalveimella voi ehkä joihinkin salattuihin päästä paremmin kiinni kuin ilman, salaamaton silti helpompaa.

Sitä en tiedä paljonko aikaa menee sovelluksen testaamiseen (ja miten se lasketaan), tiettävästi jonkin verran myös ns manuaalista ihmisteusta.


Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Lainaus:


Kaikki ei tue salausta, joten monien ohjelmien välttämätöntä tukea salaamatonta.

Vuosi on 2015, järkevät syyt esim. https:n käyttämättä jättämiseen ovat erittäin vähissä ja Apple tiukentaa ohjeistustaan tämän suhteen koko ajan, ja valvoo sitä.

Vuosi on 2015, kaikki ei ole tämänvuoden kamaa.

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Ei tarvitse olla "vapaamielinen". Kauppaan pääsy ole mikään perustavaa laatua oleva oikeus. Ja missään tapauksessa ei pidä sallia käyttäjiä vaarantavia käytäntöjä, joiden puolesta yrität jostain ihmeellisestä syystä advokoida.

Apple kiristi verkkoliikenteen säädöksiä ios9:ssa ja uudessa OSX:ssa. Kiristää lisää tulevina vuosina. Ja ihan syystä.


Jos kyse jostain marginaali nice toimijasta, niin miksä siinä, kunhan käyttäjät ymmärtää ja muutoksia ei tehdä takautuvasta.

Applestä puhuttaessa niin ei kovin hyvä juttu, se ensin sitouttanut käyttäjänsä itseensä.





Lainaus:

En nyt taas ymmärrä pointtiasi. Tottakai sen tunnuksen saa salata, mutta aika usein se on enemmän tai vähemmän julkinen tai ainakin helposti arvattavissa,


Kuten sanoit, tunnus voi olla henkilötietoa ja henkilöön liitettävissä, jolloin sitä pitää käsitellä huolellisesti, ei ainakaan liikutella salaamatta.

Ja kuten kirjoitit niin salasana voi olla paljon vaikeampia henkilöön litettävä, jos ns hyvä niin sellaisenaan jopa varsin anonyymi.


Lainaus:

Salasanan lähetys selväkielisenä on ihan universaalisti typerää


Vuonna 2015, salasanoja lähetetään selväkielisinä, ei automaattisesti typerää. Vuonna 2015 lähetetään tunnuksia salaamatta, joka joissaintapauksissa on jopa typerämpää.

Ajan takaa sitä että ei ole järkevää mekaanisesti estää ja kieltää asioita. varsinkin jos kyse olisi jostain Applen kokoisesta ekosysteemistä.

Siinä samaa miltä että uutisen kaltaisessa tapauksessa kyse toteutuksesta joka hmm. törkeää.


P.S.
Kai muistit lähettää tänne (puhelinvertailu) salasanan salattuna ?

Allekirjoittanut pitää typeränä lähettää esim tänne käyttäjätunnuksen, sisällön, jne. salaamatta.

Vastaa
Jonahan
Jonahan

9

Lainaus, alkuperäisen viestin kirjoitti user@org:

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Jos ja kun sekä proxy että laite jolla testataan on testaajan kontrollissa, menee setuppiin 5-10 min ja se tarvitaan tehdä tasan kerran.


En tiedä miten tuo laskit, ihan mutuna veikkaan että testaus menetelmien tekemiseen on käytetty paljon aikaa.

Muistelin kuinka pitkään itsellä meni vastaavan setupin laittamiseen kun tarvitsin sitä testaukseen.

Lainaus:


Välityspalveimella voi ehkä joihinkin salattuihin päästä paremmin kiinni kuin ilman, salaamaton silti helpompaa.

Sen jälkeen kun laitteelle ja proxylle on laitettu asetukset kuntoon näkyy salattu liikenne täysin samalla tavalla kuin salaamaton. Ei siis mitään eroa vaikeusasteessa sen ensimmäisen 5-10min jälkeen.


Lainaus:


Vuosi on 2015, kaikki ei ole tämänvuoden kamaa.

Kaikki mitä app storeen laitetaan tänä vuonna pitäisi olla tämän vuoden kamaa. Ja ei niitä syitä ollut kauheasti edes vuonna 2008, kun iOS kehitys tuli mahdolliseksi.

Pystytkö antamaan esimerkin jostain hyvästä syystä olla käyttämättä salattua verkkoliikennettä?


Lainaus:


Jos kyse jostain marginaali nice toimijasta, niin miksä siinä, kunhan käyttäjät ymmärtää ja muutoksia ei tehdä takautuvasta.

Ei tietenkään tehdä, uudet säännöt koskevat uusia submissioita.

Lainaus:


Applestä puhuttaessa niin ei kovin hyvä juttu, se ensin sitouttanut käyttäjänsä itseensä.

Säännökset eivät näy *käyttäjille* millään tavalla suoraan. Ne vaikuttavat kehittäjiin, jotka joutuvat tekemään lisätyötä *elleivät* ole jo tehneet asioita, kuten on kehoitettu viimeiset 5-10v Applen ja ihan jokaisen muun internettoimijan taholta.

Voisitko avata, millä tavalla käyttäjien turvallisuudesta huolehtiminen ei ole hyvä juttu?

Lainaus:


Vuonna 2015, salasanoja lähetetään selväkielisinä, ei automaattisesti typerää. Vuonna 2015 lähetetään tunnuksia salaamatta, joka joissaintapauksissa on jopa typerämpää.

Voitko antaa edes yhden esimerkin jossa salasanan lähetys selväkielisenä ei ole typerää? Itse en pysty sellaista keksimään vaikka ihan oikeasti yritän miettiä.

Käyttäjä käyttää mitä käyttäjälle annetaan, turvallisuus on enimmäkseen kehittäjän/palveluntarjoajan vastuulla ja on erittäin hyvä että Apple kiristää sääntöjä koko ajan. Kaikki hyötyvät, osa kehittäjistä joutuu tekemään hieman lisätyötä.

Vastaa
user@org (vahvistamaton)

10

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Sen jälkeen kun laitteelle ja proxylle on laitettu asetukset kuntoon näkyy salattu liikenne täysin samalla tavalla kuin salaamaton. Ei siis mitään eroa vaikeusasteessa sen ensimmäisen 5-10min jälkeen.

Jaa sulla sellainen proxy jolla salatun liikenne näkyy samalla tavalla kuin salaamaton, niin aika pro juttuja, ja salaaminen olisi yhtä tyhjänkanssa.

Vaihtoehtosiesti sillä sun proxyllä ei paljon saanut siitä salaamattomastakaan irti.

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Lainaus:


Vuosi on 2015, kaikki ei ole tämänvuoden kamaa.

Kaikki mitä app storeen laitetaan tänä vuonna pitäisi olla tämän vuoden kamaa. Ja ei niitä syitä ollut kauheasti edes vuonna 2008, kun iOS kehitys tuli mahdolliseksi.

Joillain voi olla elämää sen hiekkalaatikon ulkopuolella. käyttää jotain muutakin kuin Apple OK 2015 palveluita., jollain voi olla jopa vanhempi Apple tuote.


Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Pystytkö antamaan esimerkin jostain hyvästä syystä olla käyttämättä salattua verkkoliikennettä?


Tamankauden Omena laatikon ulkopuolella on paljon asioita jotka eivät tue salausta. Eli ei vaihtoehtoa.

Syy miksi ei tuettua voi olla useita, tai voi olla kyse yhteensopivuuksista.

Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Säännökset eivät näy *käyttäjille* millään tavalla suoraan.

Jos nyt mennään tällä ajatuksella että Apple kieltäisi ohjelmat jotka lähettävät salasanan salaamatta, niin se tarkoittaisi ettei selalisia ohjelmia olisi, se tarkoittaisi ettei käyttäjät voisi käyttää mitään selalista joka ko. ominaisuuden tarvitsee.

Eli vaikutus olisi osalle käyttäjiä merkittävä.


Lainaus, alkuperäisen viestin kirjoitti Jonahan:


Voitko antaa edes yhden esimerkin jossa salasanan lähetys selväkielisenä ei ole typerää? Itse en pysty sellaista keksimään vaikka ihan oikeasti yritän miettiä.

Jos käyttäjätunnuksen salaamaton käsittely ei ole typerää, niin ei välttämättä salasanankaan.

Jos salasana on aidosti satunnainen, uniikki, niin jos se käytön yhteydessä vuotaa sivullisille niin mitä sitten, salaamaton käyttäjätunnus voi siis olla typerämpää.

Typerää tai ei, niin tänäpäivänäkin salasanoja liikutellaan salaamattakin, kyse enemminkin siitä että se on helppoa ja tehokasta, ja voi olla riskeiltään riittävän matala.

Esim sähköpostilla lähetetään yllättävän paljon salasanoja, SMS, jne.

Paljon on "palvelimia" (laitteita) joihin ei salausta, tai salaus luokaa enemmän harmia. Ei välttämättä ongelma. jos lisäksi yhteys suht turvallinen, niin ajaa asian.

Eikä se välttämättä ole ongelma esim isolla julkisella FTP palvelimella, yhteensopivuus voi olla tärkeämpää kuis suojaus.


Ajan takaa että mahtikäsky kieltää ohjelmat jotka lähettää salaamattomasti salasanan on typerän kuuloinen ajatus, ei sovi edes sinne Applen laatikkoon. (siellä myös tavallisia käyttäjiä)


Luonnollisesti kyllä kannatan salauksen käyttö kun se vain mahdollista, jopa tälläisisssä uutiskommenteissa. Ja nimenomaan kannata sitä että käyttäjille kerrotaan ohjelmien tieturva riskeistä.

Vastaa

Kommentoi artikkelia

Pysy aiheessa ja kirjoita asiallisesti. Epäasialliset viestit voidaan poistaa tai niitä voidaan muokata toimituksen harkinnan mukaan.

Haluan ilmoituksen sähköpostitse, kun ketjuun kirjoitetaan uusi viesti.

Keskustelut

Lisää keskusteluja