21. veebruaril, Apple andis välja iOS 7.0.6, väike tarkvaravärskendus, mis pakkus „paranduse SSL -ühenduse kinnitamiseks”. Sama SSL -parandus ilmus ka vanematele iOS 6 -seadmetele ja Apple TV -le. Apple lükkab aeg -ajalt väiksemaid veaparandusi välja, nii et esmapilgul tundus 7.0.6 üsna tavaline värskendus.
Kuid tegelikkuses lappis Apple a suur turvaviga mis on aastaid potentsiaalselt ohustanud miljonite inimeste andmeid. Hüüdnimega "gotofail" on viga juba mõnda aega radari all lennanud ja seda pole OS X -is ikka veel paika pandud.
Gotofailil on väidetavalt on olnud olemas alates iOS 6 kasutuselevõtust ja selle tagajärjed on üsna tõsised. Seni on SSL-ühenduse kaudu internetti kasutavad iOS-seadmed olnud haavatavad nende andmeid pealtkuulavate häkkerite või "keset" rünnakute suhtes.
Põhimõtteliselt võimaldab viga keegi teine samas võrgus kaaperdada turvalise veebiliikluse SSL/TLS kaudu. See on suhteliselt lihtne protsess kõigile, kes teavad puudustest.
Turvafirma CrowdStrike selgitab:
IOS -i ja OS X -i platvormide autentimisloogika vea tõttu võib ründaja SSL/TLS -i kinnitamisrutiinidest algse ühenduse käepigistuse korral mööda minna. See võimaldab vastasel maskeerida end usaldusväärsest kaug -lõpp -punktist, näiteks teie lemmikveebi pakkujalt, ja täita täielikult krüpteeritud pealtkuulamist liiklust teie ja sihtkohaserveri vahel, samuti andke neile võimalus muuta andmeid lennu ajal (nt pakkuda ära võimalusi oma süsteem).
Gotofail on piiratud Apple'i rakenduste ja teenustega, nagu Safari ja Messages. Seega peaksid kolmanda osapoole brauserid nagu Chrome olema korras.
Paljud OS X osad on endiselt haavatavad, sealhulgas Apple'i tarkvarauuendusmehhanism.
Siin on mõned rakendused, mis toetuvad haavatavale Apple'ile #gotofail SSL -raamatukogu väljaspool Safarit /cc @a_greenbergpic.twitter.com/ombDOOa01A
- ashkan soltani (@ashk4n) 23. veebruar 2014
Teised tuntud häkkerid on avaldanud muret tulemuste pärast:
Pole vaja iOS -i teadmisi, et halvad poisid saaksid Apple'i parandatud SSL -viga kuritarvitada. SSL -i viga saab kasutada palju rohkem kui tavaline iOS -i viga
- MuscleNerd (@MuscleNerd) 22. veebruaril 2014
Inimesed avalikes wifi -võrkudes (Sotši?), Palun ärge kasutage oma iOS -seadet, kui seda pole värskendatud versioonile iOS 7.0.6. Ärge kasutage oma Mac Bookit. - pod2g (@pod2g) 22. veebruaril 2014
Jah, iOS <7.0.6 turvalisus on nüüd nii halb, et soovitan kõigil kiiresti värskendada. - pod2g (@pod2g) 22. veebruaril 2014
Pole raske aru saada: HTTPS ei tööta OSX ja iOS <7.0.6 puhul. Teie paroole ja krediitkaardikrediite saab võrkudes pealt kuulata.
- pod2g (@pod2g) 22. veebruaril 2014
Isegi pangad võtavad oma klientidega ühendust ja soovitavad neil kohe iOS 7.0.6 -le uuendada. „Peaksite selle värskenduse installima niipea kui võimalik, et teie teave oleks võimalikult ohutu,” hoiatas ainult veebipank Lihtne eile klientidele saadetud meilis.
Kõige ärevam selle kõige juures on teooria, mille esitas Julge tulekera John Gruber. Gotofail võeti kasutusele koos iOS 6 väljaandmisega 2012. aasta septembris ja Apple lisati NSA luureprogrammi PRISM 2012. aasta oktoobris.
Kui see on paigas, poleks NSA -l isegi vaja lähtekoodi käsitsi lugedes viga leida. Kõik, mida nad vajaksid, on automaatsed testid, kasutades võltsitud sertifikaate, mida nad kasutavad iga OS -i iga uue versiooni vastu. Apple avaldab iOS -i, NSA automaatne võltsitud sertifikaatide testimine leiab haavatavuse ja buum, Apple lisatakse PRISM -i.
Või võib -olla mitte midagi ja see kõik on juhus.
Apple avaldas eile õhtul avalduse Reuters, öeldes, et on teadlik samast SSL -veast, mis on OS X -is endiselt olemas. Parandus antakse välja varsti:
Apple Inc teatas laupäeval, et väljastab tarkvarauuenduse “väga kiiresti”, et vähendada spioonide ja häkkerite võimet haarata Maci arvutitest e -kirju, finantsteavet ja muid tundlikke andmeid.
Kinnitades teadlaste järeldusi reede hilisõhtul, et suur turvaviga iPhone'ides ja iPadides ilmneb ka süle- ja lauaarvutites Mac OS X, Apple'i pressiesindaja Trudy Muller ütles Reutersile: „Oleme sellest probleemist teadlikud ja meil on juba tarkvaraparandus, mis avaldatakse väga kiiresti varsti. ”