Видео: What’s In Your Apple iPhone (Ноември 2024)
Apple тихо пусна iOS 7.06 в петък следобед, като отстрани проблем с това как iOS 7 валидира SSL сертификатите. Атакуващите могат да се възползват от този проблем, за да започнат атака „човек в средата“ и да подслушват всички дейности на потребителите, предупредиха експерти.
"Нападател с привилегирована позиция на мрежата може да улавя или променя данни в сесии, защитени от SSL / TLS", казва Apple в своите съвети.
Потребителите трябва да се актуализират незабавно.
Внимавайте с подслушвателите
Както обикновено, Apple не предостави много информация за проблема, но експерти по сигурността, запознати с уязвимостта, предупредиха, че нападателите в същата мрежа като жертвата ще могат да четат защитени комуникации. В този случай атакуващият би могъл да прихване и дори да модифицира съобщенията, докато преминават от устройството на iOS 7 на потребителя в защитени сайтове, като Gmail или Facebook, или дори за онлайн банкови сесии. Проблемът е "фундаментален проблем в реализацията на SSL на Apple", заяви Дмитрий Алперович, CTO на CrowdStrike.
Софтуерната актуализация е достъпна за текущата версия на iOS за iPhone 4 и по-нова версия, iPod Touch от 5 поколение и iPad 2 и по-нова версия. iOS 7.06 и iOS 6.1.6. Същият недостатък има и в последната версия на Mac OS X, но все още не е отстранен, пише в блога си ImperialViolet Адам Лангли, старши инженер в Google. Langley потвърди, че недостатъкът е също в iOS 7.0.4 и OS X 10.9.1
Валидирането на сертификата е от решаващо значение при създаването на сигурни сесии, тъй като по този начин сайт (или устройство) проверява дали информацията идва от надежден източник. Чрез валидиране на сертификата уебсайтът на банката знае, че заявката идва от потребителя и не е измамена заявка от нападател. Браузърът на потребителя също разчита на сертификата, за да потвърди, че отговорът е дошъл от сървърите на банката, а не от нападател, който седи в средата и прехваща чувствителни комуникации.
Актуализиране на устройства
Изглежда, че Chrome и Firefox, които използват NSS вместо SecureTransport, не са засегнати от уязвимостта, дори ако основната ОС е уязвима, заяви Langley. Той създаде тестов сайт на https://www.imperialviolet.org:1266. "Ако можете да заредите HTTPS сайт на порт 1266, тогава имате тази грешка", каза Лангли
Потребителите трябва да актуализират своите устройства на Apple възможно най-скоро и когато е налична актуализацията на OS X, да прилагат и този пластир. Актуализациите трябва да се прилагат в надеждна мрежа и потребителите трябва наистина да избягват достъпа до защитени сайтове, докато са в ненадеждни мрежи (особено Wi-Fi), докато пътуват /
„На несвързани мобилни и лаптоп устройства поставете настройката„ Поискайте да се присъедините към мрежите “на ИЗКЛ., Което ще им попречи да показват подкана за свързване към ненадеждни мрежи“, пише Алекс Радочея, изследовател от CrowdStrike.
Като се има предвид неотдавнашните опасения относно възможността правителственото прослушване, фактът, че iPhone и iPad не са правилно потвърждават сертификатите, може да бъде тревожен за някои. "Няма да говоря подробности за бъга в Apple, освен да кажа следното. Това е сериозно използваемо и все още не е под контрол", Матю Грийн, професор по криптография от университета Джон Хопкинс, публикуван в Twitter.