Apple lasi sel nädalal oma telefonidele ja tahvelarvutitele välja uue tarkvaraversiooniiOS 9.2.1. Ja kuigi see ei anna seadmetele juurde uusi “võimeid”, vaid pakub turvauuendusi, tuleks see kiiremas korras ära teha.

Nimelt on uues iOSis parandatud üks oluline auk, mille kaudu saaksid pahatahtlikud wifi-võrgud kasutaja andmetega väga kurjalt ümber käia. Täpsemalt puudutab probleem selliseid wifi võrke, mis on küll avatud s.t ei nõua parooli, ent ühendades näidatakse inimesele mingit tutvustuslehte: mõnikord tuleb seal nõustuda tingimustega, vaadata mingi reklaam või vajutada lihtsalt nupule “Ühenda”. See on väga levinud viis tasuta wifit pakkuda, astuge ainult sisse mõnda Eesti kohvikusse või kasvõi Tallinna lennujaama.

Turvauurijad leidsid aga nimelt võimaluse, et see wifi võrk, mis inimesele enne ühendamist mingit tervituslehekülge näitab, võib ligi pääseda telefonis või tahvlis olevatele cookie’dele ehk küpsistele, mis on oma olemuselt jälg veebisirvimise ajaloost.

Kui wifi võrk on kuritahtlike kavatsustega seadistatud, saaks selle kaudu võtta näiteks internetipanka või e-posti keskkonda logidesinimese identiteedi, sisse logida kellegi teisena või muidu veebisirvimist manipuleerida.

Ka pahad saavad turvaaugust teada

Üldjuhul on üsna vähetõenäoline, et on väga palju selliseid kuritahtlikke küberpätte, kes sellest turvaaugust teadlikud on ja püüavad nii inimeste andmeid varastada.

Ent turvauuenduste loogika käib nii:

1. Keegi heatahtlik uurija või infoturbeekspert avastab tarkvaras turvaaugu. Antud juhul olid need uurijad firmast Skycure.
2. Avastajad raporteerivad vea privaatselt tarkvara loojale ehk antud juhul Apple’ile.
3. Arendaja tuvastab, et jah, viga tõesti eksisteerib, parandab selle ja laseb välja turvauuendusega tarkvara.
4. Vea avastajad avalikustavad turvaaugu olemuse, et kiirustada inimesi turvauuendust tegema.

See neljas punkt tähendab, et nüüd saavad ka kuritahtlike kavatsustega asjatundjad turvaaugu olemusest teada ja neil võib üleüldse alles tulla idee selle ärakasutamiseks.

See tähendab, et kuigi nüüd on tarkvarale turvauuendus olemas, on ka oluliselt suurem tõenäosus, et keegi päriselt seda turvaauku kurjalt ära kasutab.

Loo moraal: kui tarkvarale on turvauuendus välja pakutud, tuleks see kiiremas korras ära teha.

Foto: Josh Felise