WWW- ja mobiilitietoturva

WWW- ja mobiilisovellukset ovat monelle pääasiallinen tapa käyttää internetiä tai muita järjestelmiä, joten niiden vaikutus tietoturvaan on merkittävä - varsinkin kun asiakaspuolen ominaisuudet ja toiminnot ovat kehittyneet nopeasti. Tässä luvussa keskitytään sovellusten suojamekanismeihin ja haavoittuvuuksiin. Sovellistaminen, eli palvelujen ja toimintojen muuttaminen mobiili- tai verkkosovellukseksi (appification), toimii liikkeellepanevana voimana WWW- ja mobiiliekosysteemeissä. Asiakassovellukset kommunikoivat palvelinten kanssa sovellusrajapintojen web-teknologioilla (webification), jotka vaikuttavat yhtä lailla sekä WWW- että mobiiliekosysteemeihin.

Vielä 1990-luvulla WWW- ja mobiiliturvallisuus keskityi vahvasti palvelinpuolen ja infrastruktuurin tietoturvaan. Selaimia käytettiin enimmäkseen staattisten verkkosivustojen näyttämiseen. Verkkosisällöstä tuli kuitenkin dynaamisempaa 2000-luvulla ja palvelinpuolen tietoturvassa täytyi alkaa huomioida esim. injektiohyökkäykset. Varhaiset mobiililaitteet olivat rajoittuneita ja niitä käytettiin enimmäkseen puheluiden soittamiseen tai tekstiviestien lähettämiseen. Mobiiliturvallisuus oli silloin keskittynyt pääsynvalvontaan, puheluihin ja tekstiviestien turvallisuuteen.

Modernien alustojen kehittyminen toi merkittäviä muutoksia. Web-sovelluskoodia ei enää suoriteta palvelimella, vaan se toimii selaimessa. Selaimet käyttävät Javaa, Adobe Flashia, JavaScriptiä ja selainlaajennuksia, mikä on saanut aikaan jyrkän muutoksen verkon hyökkäyspinta-alassa. Uudentyyppisiä hyökkäyksiä, kuten Cross-Site Scripting, ilmestyi ja selainlaajennukset osoittautuivat haavoittuvaisiksi. Vastauksena uusiin uhkiin selainvalmistajat ja verkkosivustojen kehittäjät ryhtyivät toimenpiteisiin. Esimerkiksi Google Chrome poisti houkuttelevaksi hyökkäyskohteeksi osoittautuneen Adobe Flash -laajennuksen oletusarvoisesti käytöstä vuonna 2019. Tätä nykyä se on kokonaan poistettu käytöstä selaimissa, sillä sen kehittäjä lopetti tuen.

Myös mobiililaitteista on tullut monipuolisempia. Älypuhelimet ja -tabletit on varustettu liiketunnistimilla, GPS:llä ja kameroilla. Laitteissa on paljon laskentatehoa ja tallennuskapasiteettia, ja ne ovat jatkuvasti yhteydessä internetiin. Myös mobiilikäyttöjärjestelmät ovat kehittyneet ja niiden sovelluskehykset ovat yhä monipuolisempia ja monimutkaisempia. Mobiilisovellukset voivat pyytää pääsyä kaikkiin laitteiden resursseihin ja lupakyselyyn perustuvaa pääsynhallintaa käyttäviin sensoreihin. Sovellukset myös käsittelevät erittäin arkaluonteisia käyttäjätietoja. Koska mobiililaitteet ovat tehokkaita, monipuolisia ja yhteydessä internetiin, ne ovat lupaavia ja houkuttelevia kohteita hyökkääjille.

“Kaikelle on sovellus” -motto tiivistää paljon viime vuosien teknologisesta ja turvallisuuskehityksestä. Sovellustrendi johti miljooniin sovelluksiin, jotka vaihtelevat taskulampuista sosiaaliseen mediaan ja verkkopankeista mobiilipeleihin. Lisäksi WWW- ja mobiilisovelluksissa käytettävät teknologiat ja suojausmekanismit yhdistyivät. Kumpikin ekosysteemi on tyypillisesti asiakas-palvelin -suuntautunuttta. Selaimet ja mobiilisovellukset kommunikoivat taustapalvelujen kanssa verkkoteknologioilla. Kommunikointi perustuu pääosin HTTP-protokollaan ja sen suojattuun HTTPS-laajennukseen. Selaimet ja mobiilisovellukset vaihtavat esim. HTML-, JSON- ja XML-dokumentteja ja molemmat käyttävät laajasti JavaScriptiä sekä palvelin- että asiakaspuolella. Nykyaikaisten verkko- ja mobiilisovellusten valtava määrä vaikutti myös ohjelmistojen jakelumalliin, joka siirtyi verkkosivustoilta lataamisesta keskitettyihin sovelluskauppoihin. Sovelluskaupoissa kehittäjät voivat julkaista, mainostaa ja jaella ohjelmistojaan, ja käyttäjät voivat ladata uusia sovelluksia ja sovelluspäivityksiä. Keskitetyllä ohjelmistojakelulla on positiivinen vaikutus päivitystiheyteen ja -nopeuteen sekä verkossa että mobiilissa.

Palautusta lähetetään...