Sårbarheter som upptäckts i buggbelöningsprogrammet har åtgärdats i Abitti 2

Sårbarherterna som har åtgärdats

1. Windows‑bakgrundstjänst läser och skriver i examinandapplikationens minne

   I attacken producerar en bakgrundstjänst som körs på en Windows‑dator godtyckligt innehåll i minnet för processen msedgewebview2.exe direkt via anropet WriteProcessMemory. Bakgrundstjänsten kan till exempel vara en lokal språkmodell som examinanden kan interagera med via svarsfönstret. I Abitti 2‑examinandapplikationerna sker den tekniska övervakningen i bakgrunden av den låsta webbläsaren som visas på examinandens skrivbord. 

   Den tekniska övervakningen har utvecklats så att den upptäcker denna typ av attacker.

2. Examinanden fyller serverns lagringsutrymme och förhindrar att provet kan genomföras

   I attacken kan examinanden programmatiskt skapa filer av obegränsad storlek på sin egen WebDAV‑disk som finns på provlokalens server. På så sätt kan examinanden fylla serverns lagringsutrymme, varvid servern slutar fungera. För att fylla utrymmet kan man till exempel utnyttja programmeringsmiljön Abicode.

   Denna sårbarhet har åtgärdats i version 1.34.0 av Abitti 2‑servern.

3. Examinanden producerar under föregående prov information som gynnar hen i nästa prov

   Anmälaren observerade att filer som examinanden skapat med tilläggsprogram under provet bevaras vid byte av prov.

   Denna sårbarhet har åtgärdats i version 1.28.0 av Abitti 2‑servern.

4. Examinanden förfalskar eller hindrar förmedlingen av övervakningsdata

   I denna attack förfalskas de meddelanden som den tekniska övervakningen skickar till provlokalens server. Angriparens server positionerar sig mellan komponenten för teknisk övervakning på examinandens dator och provlokalens server (man-in-the-middle) och kan filtrera eller ändra kända övervakningsmeddelanden.

   Denna sårbarhet åtgärdas före studentexamensproven hösten 2026.

5. Examinanden kommunicerar med material utanför provet 1

   Syftet med denna attack är att använda en server som körs på den egna datorn eller i nätverket, till exempel en språkmodell. Genomförandet baserar sig på programmeringsmiljön Abicode, som möjliggör HTTP‑trafik med hjälp av biblioteket pyodide.http. Det är alltså möjligt att skriva en Python‑applikation som skickar en prompt till språkmodellen och visar modellens svar.

   Denna sårbarhet har åtgärdats i version 1.34.0 av Abitti 2‑servern.

6. Examinanden kommunicerar med material utanför provet 2

   Denna attack motsvarar den föregående observationen, men här används WEBSERVICE()-funktionen i Collabora Online som HTTP‑klient. Funktionen är avsedd för att hämta data från en webbtjänst. Även i detta fall kan angriparen använda en webbtjänst på sin egen dator eller i nätverket.

   Denna sårbarhet har åtgärdats i version 1.34.0 av Abitti 2‑servern.

7. Examinanden kör godtycklig kod i provmiljön med hjälv av WLAN‑basstationens namn  

   Anmälaren upptäckte att nätverkets namn på inloggningssidan i examinandapplikationen visas på en HTML‑sida så att webbläsaren tolkar namnet som HTML‑/JavaScript‑kod. Med andra ord saneras inte nätverksnamnet före visning. En angripare kan utnyttja detta genom att upprätta en basstation vars namn innehåller HTML‑kod. Med hälp av detta kunde hen köra godtycklig kod i examinandapplikationens webbläsare.

   Denna sårbarhet har åtgärdats i Windows‑examinandapplikationens version 1.13.0 och i Linux‑examinandstickans version 1.3.0.

8. Examinanden stör den tekniska övervakningen

   I denna anmälan framhålls att Open Telemetry‑data mellan examinanddatorerna och servern är lätt att producera programmatiskt och därigenom antingen fylla serverns lagringsutrymme eller radera bevis på missbruk genom att producera så mycket förfalskad övervakningsdata att den verkliga informationen skrivs över (roteras bort) från servern.

   Denna sårbarhet har åtgärdats i version 1.34.0 av Abitti 2‑servern.

9. Examinanden upprätthåller kontakt utanför provlokalen med hjälp av ett programmerbart tangentbord

   I detta tillvägagångssätt kopplas ett tangentbord som säljs i datorbutiker till datorn. Det går att förprogrammera omfattande makron till tangentbordet, men det har även trådlös Bluetooth‑funktion. I en mer avancerad attack har examinanden en dator i omedelbar närhet av provlokalen, till vilken tangentbordet ansluter när examinanden kopplar loss USB‑kabeln från datorn som finns i provlokalen. Examinanden kan utnyttja denna anslutning för att få kontakt utanför provlokalen. En medhjälpare kan svara genom att i tangentbordets makron programmera in exempelvis svar från en språkmodell.

   Denna sårbarhet åtgärdas före studentexamensproven hösten 2026.

10. Examinanden skapar en ”fusklapp” genast efter att examinandapplikationen startats

    I denna enkla attackmetod utnyttjas klippbordet för att föra in en ”fusklapp” i provmiljön. När den fuskande examinanden startar examinandapplikationen töms datorns klippbord. Examinanden skriver dock genast in fuskmaterialet i fältet ”namn på provservern” och kopierar det till klippbordet. Texten kan vara lång, eftersom fältets maximilängd inte är begränsad. Därefter ansluter examinanden applikationen till provlokalens server och loggar in i provet. Klippbordet töms inte när man går vidare till det egentliga provet, och därför kan texten på klippbordet klistras in i till exempel ett dokument i Collabora Online Writer, när provet börjar.

    Denna sårbarhet har åtgärdats i Windows‑examinandapplikationens version 1.14.0 och i Linux‑examinandstickans version 1.4.0.

Mer information

Matti Lattu, specialsakkunnig, Studentexamensnämnden, matti.lattu@ylioppilastutkinto.fi.  

Programmets regler (hackabi.org)  

Abitti 2 – studentexamens nya provsystem