На 21 февруари, Apple пусна iOS 7.0.6, малка актуализация на софтуера, която предоставя „корекция за проверка на SSL връзката“. Същата SSL корекция беше пусната и за по -стари iOS 6 устройства и Apple TV. Apple от време на време изтласква по -малки корекции на грешки, така че на пръв поглед 7.0.6 изглеждаше като доста нормална актуализация.
Но в действителност Apple закърпи a основен пропуск в сигурността което потенциално компрометира данните на милиони хора от години. Наречен „gotofail“, бъгът лети под радара от доста време и все още не е закърпен в OS X.
Gotofail има уж присъства от въвеждането на iOS 6 и последиците са доста тежки. Досега устройствата с iOS, използващи интернет чрез SSL връзка, са били уязвими от хакери, които прехващат техните данни, или атаки „човек в средата“.
По принцип грешката позволява защитен уеб трафик през SSL/TLS да бъде отвлечен от някой друг в същата мрежа. Това е сравнително прост процес за всеки, който знае за недостатъка.
Охранителната фирма CrowdStrike обяснява:
Поради недостатък в логиката за удостоверяване на iOS и OS X платформи, нападателят може да заобиколи рутинните процедури за проверка на SSL/TLS при първоначалното ръкостискане на връзката. Това позволява на противника да се маскира като идващ от надеждна отдалечена крайна точка, като например любимия ви доставчик на уеб поща, и да извърши пълно прихващане на криптирани трафик между вас и целевия сървър, както и да им дадете възможност да променят данните по време на полет (като например да доставят експлойти, за да поемат контрола върху вашия система).
Gotofail е ограничен до приложенията и услугите на Apple, като Safari и Messages. Така че браузъри на трети страни като Chrome трябва да са добре.
Много части на OS X все още са уязвими, включително механизмът за актуализиране на софтуера на Apple.
Ето някои от приложенията, които разчитат на уязвимия Apple #gotofail SSL библиотека извън Safari /cc @a_greenbergpic.twitter.com/ombDOOa01A
- ашкан солтани (@ashk4n) 23 февруари 2014 г.
Други известни хакери изразиха загриженост относно констатациите:
Не е необходим опит в iOS за лоши момчета, за да злоупотребяват с SSL грешката, която Apple просто е поправила. Много повече могат да експлоатират (за лоша) SSL грешка, отколкото обикновена грешка в iOS
- MuscleNerd (@MuscleNerd) 22 февруари 2014 г.
Хората в обществени wifi мрежи (Сочи?), Моля, просто не използвайте вашето iOS устройство, ако то не е актуализирано до iOS 7.0.6. Не използвайте своя Mac Book. - pod2g (@pod2g) 22 февруари 2014 г.
Да, сигурността на iOS <7.0.6 вече е толкова лоша, че съветвам всички да актуализират бързо. - pod2g (@pod2g) 22 февруари 2014 г.
Не е трудно да се разбере: HTTPS не работи на OSX и iOS <7.0.6. Вашите пароли и кредитни карти могат да бъдат прихващани в мрежи.
- pod2g (@pod2g) 22 февруари 2014 г.
Дори банките се свързват с клиентите си и ги съветват незабавно да актуализират до iOS 7.0.6. „Трябва да инсталирате тази актуализация възможно най-скоро, за да сте сигурни, че информацията ви е възможно най-безопасна“, предупреди онлайн-банката Прост в имейл до клиенти вчера.
Това, което може би е най -тревожното във всичко това, е теорията, изложена от Дръзкият огнена топка Джон Грубер. Gotofail беше въведен с пускането на iOS 6 през септември 2012 г., а Apple беше добавена към шпионската програма на NSA „PRISM“ през октомври 2012 г.
Веднъж на място, NSA дори не би трябвало да намери грешката, като прочете ръчно изходния код. Всичко, от което се нуждаят, са автоматизирани тестове, използващи подправени сертификати, които те изпълняват срещу всяка нова версия на всяка операционна система. Apple пуска iOS, автоматизираното тестване на фалшиви сертификати на NSA открива уязвимостта и бум, Apple се „добавя“ към PRISM.
Или може би нищо и всичко това е съвпадение.
Apple издаде декларация снощи, per Ройтерс, казвайки, че е запознат със същата грешка на SSL, която все още съществува в OS X. Скоро ще бъде издадено поправка:
Apple Inc заяви в събота, че ще издаде софтуерна актуализация „много скоро“, за да прекъсне възможността на шпиони и хакери да вземат имейл, финансова информация и други чувствителни данни от компютри Mac.
Потвърждавайки констатациите на изследователите късно в петък, че сериозен пропуск в сигурността на iPhone и iPad също се появява в ноутбуците и настолните машини, работещи Mac OS X, говорителката на Apple Труди Мюлер заяви пред Ройтерс: „Ние сме наясно с този проблем и вече имаме софтуерна корекция, която ще бъде пусната много скоро."