Video: WWDC 2020 Special Event Keynote — Apple (Oktober 2024)
Apple slapp iOS 7.06 stille fredag ettermiddag, og løste et problem i hvordan iOS 7 validerer SSL-sertifikater. Angripere kan utnytte dette problemet for å sette i gang et midt-angrep og avlyttes over all brukeraktivitet, advarte eksperter.
"En angriper med en privilegert nettverksposisjon kan fange eller endre data i økter som er beskyttet av SSL / TLS, " sa Apple i sin rådgivning.
Brukere bør oppdatere umiddelbart.
Se opp for Eavesdroppers
Som vanlig ga ikke Apple mye informasjon om problemet, men sikkerhetseksperter som er kjent med sårbarheten, advarte om at angripere på samme nettverk som offeret ville kunne lese sikker kommunikasjon. I dette tilfellet kan angriperen avskjære og til og med endre meldingene når de går fra brukerens iOS 7-enhet til sikrede nettsteder, for eksempel Gmail eller Facebook, eller til og med for nettbankøkter. Problemstillingen er en "grunnleggende feil i Apples SSL-implementering, " sa Dmitri Alperovich, CTO for CrowdStrike.
Programvareoppdateringen er tilgjengelig for den nåværende versjonen av iOS for iPhone 4 og nyere, 5. generasjon iPod Touch, og iPad 2 og nyere. iOS 7.06 og iOS 6.1.6. Den samme feilen eksisterer i den nyeste versjonen av Mac OS X, men har ennå ikke blitt oppdatert, skrev Adam Langley, senioringeniør hos Google, på bloggen ImperialViolet. Langley bekreftet at feilen også var i iOS 7.0.4 og OS X 10.9.1
Sertifikatvalidering er avgjørende for å etablere sikre økter, da dette er hvordan et nettsted (eller en enhet) verifiserer at informasjonen kommer fra en pålitelig kilde. Ved å validere sertifikatet vet banknettstedet at forespørselen kommer fra brukeren, og ikke er en forfalsket forespørsel fra en angriper. Brukerens nettleser er også avhengig av sertifikatet for å bekrefte at svaret kom fra bankens servere og ikke fra en angriper som satt i midten og avlyttet sensitiv kommunikasjon.
Oppdater enheter
Det ser ut til at Chrome og Firefox, som bruker NSS i stedet for SecureTransport, ikke påvirkes av sårbarheten, selv om det underliggende operativsystemet er sårbart, sa Langley. Han opprettet en testside på https://www.imperialviolet.org:1266. "Hvis du kan laste inn et HTTPS-nettsted på port 1266, har du denne feilen, " sa Langley
Brukere bør oppdatere Apple-enhetene sine så snart som mulig, og når OS X-oppdateringen er tilgjengelig, for å bruke den oppdateringen også. Oppdateringene bør brukes mens de er på et pålitelig nettverk, og brukerne bør virkelig unngå tilgang til sikre nettsteder mens de er pålitelige nettverk (spesielt Wi-Fi) mens de reiser /
"På unpatchede mobile og bærbare enheter, sett innstillingen 'Be om å bli med i nettverk' til AV, som vil forhindre dem i å vise spørsmål om å koble seg til ikke-tillitlige nettverk, " skrev Alex Radocea, forsker fra CrowdStrike.
Når du vurderer nyere bekymringer for muligheten for å snuppe fra myndighetene, kan det at iPhones og iPad-er ikke validerte sertifikater riktig, være alarmerende for noen. "Jeg har ikke tenkt å snakke detaljer om Apple-feilen, bortsett fra å si følgende. Den er alvorlig utnyttbar og ennå ikke under kontroll, " la Matthew Green, en kryptografiprofessor ved Johns Hopkins University, ut på Twitter.
