Hakkerointiohjelmassa löydettyjä haavoittuvuuksia korjattu Abitti 2:ssa

Ylioppilastutkintolautakunta käynnisti 1.4.2026 hakkerointiohjelman tietoturvahaavoittuvuuksien etsimiseksi Abitti 2:sta. Ohjelmaan on 22.6. mennessä tullut 41 ilmoitusta, joista erisuuruisia palkkioita on maksettu 12 ilmoitukselle. Hakkerointiohjelma täydentää lautakunnan omaa tietoturvatyötä ja on normaali osa järjestelmän kehitystä. Alan käytäntöjen mukaisesti lautakunta on sitoutunut julkaisemaan tietoturvahavainnot kolmen kuukauden sisällä siitä, kun ne on raportoitu lautakunnalle.

Abitti 2 -logo ja teksti kakkonen on ykkönen.

Tähän mennessä lähetetyt ehdotukset ovat yllättäneet lautakunnan iloisesti sekä määrällään että erityisesti laadullaan. Ohjelma on käynnissä koko kesän ajan, joten havaintoja voi lähettää edelleen (ks. säännöt ja lomake). Heinä- ja elokuussa vastausaika on lomakauden vuoksi hiukan normaalia hitaampi, mutta ilmoituksia havainnoista otetaan vastaan jatkuvasti.  

Lue lisää hakkerointiohjelmasta aiemmasta uutisesta

Korjatut haavoittuvuudet

  1. Windows-taustapalvelu lukee ja kirjoittaa kokelassovelluksen muistia

    Hyökkäyksessä Windows-tietokoneessa ajettava taustapalvelu tuottaa mielivaltaista sisältöä msedgewebview2.exe-prosessin muistiin suoraan WriteProcessMemory-kutsulla. Taustapalvelu voi olla esimerkiksi paikallinen kielimalli, jonka kanssa kokelas voi olla vuorovaikutuksessa vastausikkunan kautta. Abitti 2 -kokelassovelluksissa kokelaan työpöytää näyttävän lukitun selaimen taustalla toimii tekninen valvonta.

    Teknistä valvontaa on kehitetty siten, että se havaitsee tämänkaltaiset hyökkäykset.

  2. Kokelas täyttää palvelimen levytilan ja estää kokeen järjestämisen

    Hyökkäyksessä kokelas voi tuottaa ohjelmallisesti rajoittamattoman suuria tiedostoja omaan koetilan palvelimella sijaitsevaan WebDAV-levyynsä. Kokelas voi näin täyttää palvelimen levytilan, jolloin palvelin lakkaa toimimasta. Täyttämiseen voi hyödyntää esimerkiksi Abicode-ohjelmointiympäristöä. 

    Tämä haavoittuvuus on korjattu Abitti 2 -palvelimen versiossa 1.34.0. 

  3. Kokelas tuottaa edellisessä kokeessa tietoa, joka hyödyttää häntä seuraavassa kokeessa

    Ilmoittaja havaitsi, että kokelaan aikana tallettamat oheisohjelmilla tekemät tiedostot säilyvät kokeen vaihtuessa. 

    Tämä haavoittuvuus on korjattu Abitti 2 -palvelimen versiossa 1.28.0. 

  4. Kokelas väärentää tai estää valvontatietojen välittämisen

    Tässä hyökkäyksessä väärennetään teknisen valvonnan koetilan palvelimelle lähettämiä viestejä. Hyökkääjän palvelin asettuu kokelaan tietokoneen teknisen valvontakomponentin ja koetilan palvelimen väliin (man-in-the-middle) ja voi suodattaa tai muokata tunnettuja valvontaviestejä. 

    Tämä haavoittuvuus korjataan ennen syksyn 2026 ylioppilaskokeita. 

  5. Kokelas on yhteydessä kokeen ulkopuoliseen materiaaliin 1

    Tämän hyökkäyksen tavoitteena on käyttää omalla koneellaan tai verkossa suoritettavaa palvelinta, joka voi olla esimerkiksi kielimalli. Toteutus nojaa Abicode-ohjelmointiympäristöön, joka mahdollistaa HTTP-liikenteen pyodide.http-kirjaston avulla. On siis mahdollista kirjoittaa Python-sovellus, joka lähettää kielimallille promptin ja näyttää mallin antaman vastauksen. 

    Tämä haavoittuvuus on korjattu Abitti 2 -palvelimen versiossa 1.34.0. 

  6. Kokelas on yhteydessä kokeen ulkopuoliseen materiaaliin 2

    Tämä hyökkäys vastaa edellistä havaintoa, mutta HTTP-asiakkaana käytetään Collabora Onlinen WEBSERVICE() -funktiota. Funktio on tarkoitettu datan hakemiseen verkkopalvelusta. Tässäkin toteutuksessa hyökkääjä voisi käyttää omalla koneellaan tai verkossa olevaa verkkopalvelinta. 

    Tämä haavoittuvuus on korjattu Abitti 2 -palvelimen versiossa 1.34.0. 

  7. Kokelas suorittaa koeympäristössä mielivaltaista koodia WLAN-tukiaseman nimen avulla

    Ilmoittaja huomasi, että kokelassovelluksen kirjautumissivulla verkon nimi näytetään HTML-sivulla siten, että selain tulkitsee nimen HTML/JavaScript-koodina. Toisin sanoen verkon nimeä ei sanitoida ennen näyttämistä. Hyökkääjä voisi käyttää tätä hyväkseen perustamalla tukiaseman, jonka nimi sisältää HTML-koodia. Tämän avulla hän voisi suorittaa kokelassovelluksen selaimessa mielivaltaista koodia. 

    Tämä haavoittuvuus on korjattu Windows-kokelassovelluksen versiossa 1.13.0 ja Linux-kokelastikun versiossa 1.3.0. 

  8. Kokelas häiritsee teknistä valvontaa

    Tässä ilmoituksessa tuodaan esiin, että kokelaskoneiden ja palvelimen välistä Open Telemetry -dataa on helppo tuottaa ohjelmallisesti ja siten joko täyttää palvelimen levyn tai pyyhkiä todisteet väärinkäytöksistä tuottamalla niin paljon väärennettyä valvontadataa, että todelliset valvontatiedot poistetaan palvelimelta uusien tieltä (rotatoituvat) palvelimelta. 

    Tämä haavoittuvuus on korjattu Abitti 2 -palvelimen versiossa 1.34.0. 

  9. Kokelas pitää yhteyttä koetilan ulkopuolelle ohjelmoitavan näppäimistön avulla

    Tässä vilppimenettelyssä tietokoneeseen on liitetty tietokoneliikkeissä myytävä näppäimistö. Näppäimistöön on mahdollista syöttää etukäteen laajoja makroja, mutta siinä on myös langaton Bluetooth-ominaisuus. Kehittyneemmässä hyökkäyksessä kokelaalla on koetilan välittömässä läheisyydessä tietokone, johon näppäimistö ottaa yhteyttä kokelaan irrottaessa USB-kaapelin koetilassa olevalta tietokoneeltaan. Kokelas voi käyttää tätä yhteyttä ollakseen yhteydessä koetilan ulkopuolelle. Avustaja voi vastata kokelaalle ohjelmoimalla näppäimistön makroon esimerkiksi kielimallin antaman vastauksen. 

    Tämä haavoittuvuus korjataan ennen syksyn 2026 ylioppilaskokeita. 

  10. Kokelas laatii itselleen “lunttilapun” välittömästi kokelassovelluksen käynnistyttyä

    Tässä yksinkertaisessa hyökkäystavassa hyödynnetään leikepöytää “lunttilapun” kuljettamiseen koeympäristöön. Vilpillisen kokelaan käynnistettyä kokelassovelluksen kokelaan tietokoneen leikepöytä tyhjennetään. Kokelas kuitenkin kirjoittaa heti “koepalvelimen nimi” -kenttään lunttimateriaalia ja kopioi sen leikepöydälle. Teksti voi olla pitkä, sillä kentän maksimipituutta ei ole rajoitettu. Tämän jälkeen kokelas yhdistää kokelassovelluksen koetilan palvelimeen ja kirjautuu kokeeseen. Leikepöytää ei tyhjennetä siirryttäessä varsinaiseen kokeeseen, joten kokeen alkaessa leikepöydällä olevan tekstin voi liittää esimerkiksi Collabora Online Writer -dokumenttiin. 

    Tämä haavoittuvuus on korjattu Windows-kokelassovelluksen versiossa 1.14.0 ja Linux-kokelastikun versiossa 1.4.0. 

Lisätietoa 

Matti Lattu, erityisasiantuntija, Ylioppilastutkintolautakunta, matti.lattu@ylioppilastutkinto.fi 

Hakkerointiohjelman säännöt (hackabi.org)  

Abitti 2 – ylioppilastutkinnon uusi koejärjestelmä

Abitti 2 -palvelimen ja kokelassovellusten asennusohjeet (Abitti.fi) 

Abitin tietoturvapolitiikka (englanniksi) (Abitti.fi)