Linkit

sunnuntai 31. elokuuta 2025

Mobiilivarmenne ilman häirinnänestokoodia on turvaton (1)

Tämä on ensimmäinen blogiteksti liittyen digiasioinnin turvallisuuden kohentamiseen.

Operaattorit ja viranomaiset ovat kehottaneet kansalaisia suosimaan mobiilivarmennetta, koska se on turvallisempi kuin pankkitunnukset. Mobiilivarmenne on turvallisempi lähinnä vain siksi, ettei se ole pankkitunnus, ts. sillä ei pääse vahingossa (=huijattuna) pankkiin. Teknisessä mielessä mobiilivarmenteessa on omat puutteensa ja käytettävyyskin voisi olla parempi.

Mobiilivarmenteen suurin ongelma on siinä, ettei käyttäjä voi tietää, mihin tapahtumaan tunnistuspyyntö liittyy. Nettipalvelu näyttää kyllä tapahtumatunnisteen, mutta se ei näy puhelimessa.

Tunnistus Suomi.fi-palveluun mobiilivarmenteella alkaa puhelinnumeron kysymisellä.

Kun palvelun tunnistuspyyntö lähtee puhelimeen, sim-kortille upotettu toiminta ottaa puhelimen haltuunsa ja kysyy mobiilivarmenteen PIN-koodia.

PIN-koodi puhelimessa (Android).

Samalla alkuperäinen palvelu näyttää nettisivulla tapahtumatunnisteen: 

Tapahtumatunniste??

(EDIT: Seuraava ilmiö johtuu puhelimesta tai sim-kortista, eikä koske käyttäjien enemmistöä) Käyttäjän on mahdotonta tietää varmaksi, mihin hän on tunnistautumassa. Nettisivulla tehdyn aloituksen ja puhelimella annetun koodin välillä on vain ajallinen yhteys. Kriittisin vaihe, PIN-koodin syöttö puhelimella, ei kerro mihin palveluun koodi liittyy. Tämä on vakava puute.

Tapahtumatunniste voisi nimensä mukaisesti sitoa tapahtumat yhteen, mutta se pitäisi näyttää nettisivulla jo aloituksen yhteydessä ja tietenkin myös puhelimessa, jotta käyttäjä voisi verrata koodeja keskenään.

Tällaisena järjestelmä mahdollistaa helpon huijauksen. Jos uhri saadaan houkuteltua valesivulle ja kirjautumaan sieltä mobiilivarmenteella, hän tuleekin antaneeksi oikean PIN-koodinsa huijarin taustalla käyttämään palveluun.

Ilmeisesti tästä on kyse poliisin kesällä julkaisemassa tiedotteessa, jossa kerrottiin mobiilivarmenteella tehdyistä huijauksista. Varmenne on teknisesti turvallinen, mutta puolitiehen jääneen toteutuksen vuoksi uhrin huijaaminen sillä on helppoa - etenkin, kun media ja viranomaiset ovat suositelleet sen käyttöä juuri turvallisuuden vuoksi.

Poliisin tiedotteessa kerrotaan vielä yksinkertaisempi huijaustapa: rikollinen lähettää uhrille ilmoituksen, että varmenne on vanhentumassa ja pitää uusia kirjautumalla. Jos uhri saadaan aktivoimaan tunnistus pelkän tekstiviestin tai sähköpostin perusteella, edes valesivua ei tarvita.

(Poliisi on korjannut kaikessa hiljaisuudessa tiedotteen sanamuotoja. Alun perin siinä väitettiin, että rikolliset olivat kalastelleet uhreilta mobiilivarmenteen tunnuslukuja - siitä ei ollut kyse. Ihan hyvä että korjasivat, mutta kun on kyse viranomaisen tiedotussivusta, olisi syytä ilmaista että sivua on muokattu alkuperäisen julkaisun jälkeen.)

Turvallisuutta voi parantaa merkittävästi ottamalla puhelimessa käyttöön häirinnänestokoodin. Sen jälkeen kirjautumisen aluksi puhelinnumeron ohella pitää syöttää lisäkoodi: 

Kirjautuminen häirinnänestokoodilla.

Taas uusi koodi muistettavaksi. Elisalla koodissa pitää olla 3-16 merkkiä, joista ainakin ensimmäinen on kirjain. Ehkä tämänkin olisi voinut tehdä helpommaksi? 

Tunnistuspyyntö puhelimeen lähtee vasta, kun oikea koodi on syötetty. Sen jälkeen puhelin ilmoittaa saapuvasta tunnistuspyynnöstä ja nyt näkyy myös tapahtumatunniste. Mutta miksei tunnisteen sijalla voisi olla numerokoodin sijaan palvelun nimi? 

"Telia Tunnistus" on turha tieto, koska se on vain tunnistuksen toteuttaja. Käyttäjän ajatuksissa tunnistuspyyntö tulee oikealta palvelulta, ei tunnistuspalvelulta. "Telia Tunnistus" sijaan pitäisi lukea Suomi.fi, KELA, Vero tms.

Nyt tunnistepyyntökin näkyy, mutta ei palvelun nimeä (iPhone).

Mobiilivarmenteen toteutus on kovin tekninen. Näytöllä on numeroita ja outoja sanoja, mutta käyttäjän kannalta tärkein informaatio (palvelu nimi) puuttuu. 

(Ensisijainen)? 

Ja vielä kolmaskin ikkuna, ennen kuin haluttu palvelu lopulta avautuu:

(Ensisijainen) Pyyntöä lähetetään.

Suomi oli joskus sähköisen asioinnin pioneeri, mutta ei ole enää. Kuvaavaa onkin, että DNA ja Elisa ilmoittivat äskettäin sovelluspohjaisen mobiilivarmenteen kehityksen viivästymisestä. On epävarmaa, jatketaanko kehitystä enää lainkaan. 

Mikrobitin jutussa Elisan ja DNA:n johtajat kommentoivat että "mobiilivarmenne on nykymuodossaankin jo helppokäyttöinen ja toimiva". Tästä rohkenen olla eri mieltä.

Lisäys: Palautteesta päätellen osalla käyttäjistä mobiilivarmenne toimii eri tavalla ja näyttää tapahtumatunnisteen, vaikka häiriönestokoodia ei olisi asetettu. Olisiko niin, että uudemmat mobiilivarmenteet ovat tässä suhteessa parempia? Omani ovat vanhoja, koska hankin ne kauan sitten. Joka tapauksessa häirinnänestokoodi kannattaa asettaa sen tuomasta lisävaivasta huolimatta, sillä on varmaa että huijarit oppivat uusia kikkoja myös varmennekäyttäjien huijaamiseen.

Suomen tunnistuksessa on muutakin vikaa, niistä lisää seuraavissa kirjoituksissa.

Muokattu 1.9.2025, lisätty maininta puhelimen tai sim-kortin rajoituksesta kun tapahtumatunniste ei näy oikein.

Seuraava kirjoitus tästä aiheesta >

at

17 kommenttia:

  1. Olavi Koskela31. elokuuta 2025 klo 11.34

    Ja kuinka pankkiin pääsee tunnuksilla 'vahingossa'? Käyttämäni pankki kysyy kirjautuessa ensin pankin käyttäjätunnusta, sitten salasanaa ja lopuksi postitse lähetetyn avainlukulistan mukaista kertakäyttöistä avainlukua. Jos nämä kaikki vaiheet onnistuu tekemään 'vahingossa', niin todennäköisyyslaskentaa on tarpeen vielä kehittää pankkitoimintaa varten.

    VastaaPoista
    Vastaukset
    1. Anonyymi2. syyskuuta 2025 klo 15.17

      Pointti on siinä, että luulee menevänsä vaikka Kelaan, mutta huikaussivu ohjaa pyynnön pankkiin. Tarkoitus on asentaa mobiilipankki huijarin kännykkään. Tästä tulee erillinen tekstiviestivarmennus, mutta kyllä joku senkin sinne sivulle varoituksista huolimatta antaa.

      Poista
  2. Petteri Järvinen31. elokuuta 2025 klo 11.44

    "Vahinko" on ehkä väärä termi, mutta kyse on siis huijauksesta, jossa uhri luulee kirjautuvansa vaikka Verottajalle, mutta tunnistus meneekin rosvon käsissä pankkiin ja tili tyhjenee.

    VastaaPoista
  3. Markus31. elokuuta 2025 klo 15.43

    Kyllä tämä Suomessa on koko touhu yhtä sekoilua. Kaikki pankit listattuna, mobiilivarmennetta ja nyt hightrust.id juttuja ja kaikki vain sen takia kun taas kerran Suomessa valtio ei kanna vastuuta väestötieto/tunnistautumis-asioista vaan sekin on annettu firmoille hoidettavaksi - jonka vuoksi asia on yksi iso sekametelisoppa. Näin iso ja tärkeä asia pitää olla kaikkialla aina ja vain valtiollinen asia. Jos siihen on jotain kilpailullisia esteitä mukamas niin voidaan kysyä, miksi Viron ei tarvitse sitäkään asiaa noudattaa tai voidaan myös kysyä, että miksi passi-palvelut sitten hoitaa vain ja ainoastaan poliisi. Kaikkein erikoisinta asiassa on tuo uusin tulokas, joka on hyvinkin kiva, moderni ja toimiva. Eli hightrust.id. Sen ajatelman pitäisi olla se oikea. Henkilökorttiin kytketty tunniste joka toimii vanhalla tyylillä, sekä modernilla face id:lla. Mobiilivarmenteesta piti tulla uusi iteraatio face id-tuilla sun muilla. Kuitenkin hinnankorotusten jälkeen "turvallisuuden parantaminen tekosyynä", elisa ja dna ilmoitti, että on jotain ongelmia eikä uutta palvelua tulekaan. Outoa asiassa on se, että elisalla ja dna:lla vanha mobiilivarmenne ei toimi e-simissä ollenkaan. Vain fyysisellä sim-kortilla. Telialla toimii myös e-simillä. Vielä oudompaan valoon hinnankorotus tulee sitten kun uusimmat iphonet tulee ja näistähän juorutaan, että lähiaikoina fyysinen sim-kortin paikka tulee häviämään jo yhdysvaltojen lisäksi myös muualta maailmasta. Esimerkiksi uudessa ohuessa iPhone Airissa ei olisi moista enää ollenkaan. Näin ollen elisan/dna:n suhteen tilanne on se, että maksat turvaominaisuuksista mutta heidän omien rajoitteidensa vuoksi uusimmissa iphoneissa niitä ei mitenkään voisi edes käyttää? Tällaista "suomi-osaamista" taas vaihteeksi.

    VastaaPoista
  4. Zarr31. elokuuta 2025 klo 18.48

    Tunniste kyllä näkyy ainakin minun puhelimellani. Android 11 käytössä.

    Kirjauduin juuri omaveroon (suomi.fi-tunnistus)

    Ruudulle ilmestyi "Tunnistuspyyntö 68797, lähettäjä Suomi.fi-tunnistus." ja vaihtoehdot OK tai peruuta.

    Painamalla OK pääsee syöttämään PIN-koodia. Tällä pinkoodin syöttönäytöllä ei tunnistuspyynnön ID:tä toki enää näy, mutta kyllä tunnistuksen avausviestissä se näkyi ihan selkeästi.

    VastaaPoista
  5. MH1. syyskuuta 2025 klo 11.17

    1. Valitaan tunnistautumisessa Mobiilivarmenne.
    2. Syötetaan puhelinnumero.
    3. Vastauksessa näkyy 5-numeroinen Tapahtumatunniste.
    4. Puhelimeen tulee: "Tunnistuspyyntö nnnnn lähettäjältä Telia Tunnistus".
    (verrataan tässä vaiheessa vaiheen 3 ja 4 numeroita, jos samat, niin)
    5. OK: Anna PIN (mobiilivarmenteen siis...).
    --- Minulla melkein vuosi sitten hankittu Mobiilivarmenne.

    VastaaPoista
  6. Anonyymi1. syyskuuta 2025 klo 13.48

    Olen aina ihmetellyt mita tuo "(ensisijainen)" tarkoittaa?

    VastaaPoista
  7. Anonyymi1. syyskuuta 2025 klo 16.33

    Itsellänikin tuo tunniste on aina näkynyt myös puhelimessa - jo viisi vuotta sitten. Sen sijaan olen ihmetellyt sitä, miksi varmenteen PINin voi syöttää avaamatta ensin puhelinta sen omalla PINnillä. Eikö sen vaatiminen vielä lisäisi turvaa yhdellä pykälällä?

    VastaaPoista
    Vastaukset
    1. MH1. syyskuuta 2025 klo 16.39

      Omassa käytössä olen kokenut sen käteväksi. Siis käytän pääasiassa pöytäkonetta, puhelin menee usein lukkoon. Mobiilivarmenteen hyväksyminen tapahtuu ilman, että puhelimen omaa PIN-koodia tarvitsee syöttää. Mikähän tilanne sellainen olisi, jossa rikollinen ei tietäisi puhelimen PIN-koodia, mutta tietäisi Mobiilivarmenteen PIN-koodin. Kaiketi tämäkin on mahdollista...

      Poista
  8. Anonyymi1. syyskuuta 2025 klo 17.08

    Minulla on alle kaksi vuotta sitten aktivoitu mobiilivarmenne, ja tapahtumanumero näkyy puhelimessa.

    VastaaPoista
  9. Anonyymi1. syyskuuta 2025 klo 19.23

    Kyllä Petteri nyt puhuu outoja. Juuri tuli testattua Kanta.fi -palvelussa Telian mobiilivarmennetta. Tietsikan näytön tapahtumanumero ilmestyy puhelimen näytölle tulevaan ilmoitukseen, josta klikataan itse sovellukseen antamaan PIN-koodi.

    VastaaPoista
  10. Petteri Järvinen1. syyskuuta 2025 klo 20.05

    Saattaa riippua puhelimesta tai varmenteen iästä. Kokeilemissani puhelimissa tapahtumatunnistetta ei tullut näkyviin puhelimessa.

    VastaaPoista
    Vastaukset
    1. Anonyymi2. syyskuuta 2025 klo 12.29

      Ei riipu. Jos asiointikanava on tunnistuskanava, se puhelimen tuleva pyyntö peittää TeliaTunnistuksen näyttämän tapahtumatunnisteen niin nopeasti, että useimmat eivät sitä ehdi huomata eikä sitä saa esille hukkaamatta tunnistuspyyyntöä. Tuon korjaus olisi saada se tapahtumatunniste näkyviin ylempänä sillä sivulla.

      Poista
  11. Petteri Järvinen1. syyskuuta 2025 klo 20.10

    varmenteen PINin voi syöttää avaamatta ensin puhelinta sen omalla PINnillä

    Voi johtua siitä, että mobiilivarmenne toimii suoraan sim-kortilla, puhelimen käyttöjärjestelmän ulkopuolella. Siksi se toimii jopa vanhassa nokialaisessa. Tämä on tavallaan myös turvaominaisuus, vaikka puhelimen lukitusta ei tarvitsekaan avata.

    VastaaPoista
  12. Anonyymi2. syyskuuta 2025 klo 9.46

    Hienoa että joku asiantuntija tulee toteamaan vihdoin haavoittuvuuden kun maalikkona tajusin saman ongelman, onko kyseessä törkeää huolimattomuutta kun rahat menee Tämmöisen johdosta, lähipiirissä tapahtui tällä tavalla sim kortin kaappaus joka muutettiin E-sim kortiksi. Asia nyt riitautettu mutta huonolta näyttää

    VastaaPoista
  13. Anonyymi3. syyskuuta 2025 klo 9.28

    iPhone 13 iOS 18.6 vaatii puhelimen lukituksen avaamisen ennenkuin voi hyväksyä mobiilivarmenteen.

    VastaaPoista
  14. Petteri Järvinen3. syyskuuta 2025 klo 13.34

    Samoin lukituksen avausta vaati eräs Android-puhelin. Se tekee käytön kömpelömmäksi, etenkin kun lukittu puhelin ei anna edes ilmoitusta kirjautumispyynnöstä.

    VastaaPoista