Video: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (Noiembrie 2024)
Apple a lansat liniștit iOS 7.06 vineri după-amiază târziu, rezolvând o problemă în modul în care iOS 7 validează certificatele SSL. Atacanții pot exploata această problemă pentru a lansa un atac în interiorul mediului și stafid asupra tuturor activităților utilizatorilor, au avertizat specialiștii.
"Un atacator cu o poziție privilegiată de rețea poate captura sau modifica date în sesiunile protejate de SSL / TLS", a spus Apple în avizul său.
Utilizatorii ar trebui să se actualizeze imediat.
Ferește-te de furaje
Ca de obicei, Apple nu a furnizat foarte multe informații despre această problemă, însă experții în securitate familiarizați cu vulnerabilitatea au avertizat că atacatorii din aceeași rețea ca victima vor putea citi comunicații sigure. În acest caz, atacatorul ar putea intercepta și chiar modifica, mesajele pe măsură ce trec de pe dispozitivul iOS 7 al utilizatorului către site-uri securizate, precum Gmail sau Facebook, sau chiar pentru sesiuni de servicii bancare online. Problema este un „bug fundamental în implementarea SSL a Apple”, a declarat Dmitri Alperovich, CTO al CrowdStrike.
Actualizarea software este disponibilă pentru versiunea actuală a iOS pentru iPhone 4 și versiunile ulterioare, iPod Touch de generația a 5-a și iPad 2 și versiuni ulterioare. iOS 7.06 și iOS 6.1.6. Același defect este și în ultima versiune a Mac OS X, dar nu a fost încă patch, Adam Langley, un inginer senior la Google, a scris pe blogul său ImperialViolet. Langley a confirmat că defectul a fost și în iOS 7.0.4 și OS X 10.9.1
Validarea certificatelor este esențială pentru stabilirea sesiunilor sigure, deoarece astfel un site (sau un dispozitiv) verifică dacă informațiile provin dintr-o sursă de încredere. Prin validarea certificatului, site-ul băncii știe că solicitarea vine de la utilizator și nu este o solicitare răsfățată a unui atacator. Browserul utilizatorului se bazează, de asemenea, pe certificat pentru a verifica răspunsul provenit de la serverele băncii și nu de la un atacator care stă la mijloc și interceptează comunicații sensibile.
Actualizați dispozitive
Se pare că Chrome și Firefox, care utilizează NSS în loc de SecureTransport, nu sunt afectate de vulnerabilitate, chiar dacă sistemul de operare de bază este vulnerabil, a spus Langley. El a creat un site de test la https://www.imperialviolet.org:1266. "Dacă puteți încărca un site HTTPS pe portul 1266, atunci aveți acest bug", a spus Langley
Utilizatorii ar trebui să își actualizeze dispozitivele Apple cât mai curând posibil și când actualizarea OS X este disponibilă, pentru a aplica și patch-ul. Actualizările ar trebui să fie aplicate în timp ce pe o rețea de încredere, iar utilizatorii ar trebui să evite cu adevărat să acceseze site-uri sigure în timp ce pe rețele de încredere (în special Wi-Fi) în timpul călătoriei /
„Pe dispozitivele mobile și laptopuri nepatrimate, setați opțiunea„ Cereți să vă înscrieți în rețele ”pe OFF, ceea ce le va împiedica să afișeze prompturi pentru conectarea la rețelele de încredere”, a scris Alex Radocea, cercetător de la CrowdStrike.
Având în vedere îngrijorările recente cu privire la posibilitatea respingerii guvernului, faptul că iPhone-urile și iPad-urile nu au validat corect certificatele poate fi alarmant pentru unii. "Nu am de gând să vorbesc detalii despre bug-ul Apple decât să spun următoarele. Este serios exploatabil și nu este încă sub control", a postat pe Twitter Matthew Green, profesor de criptografie la Universitatea Johns Hopkins.