Helmikuun 21. Apple julkaisi iOS 7.0.6: n, pieni ohjelmistopäivitys, joka tarjosi "korjauksen SSL -yhteyden vahvistamiseen". Sama SSL -korjaus julkaistiin myös vanhemmille iOS 6 -laitteille ja Apple TV: lle. Apple työntää pienempiä virheenkorjauksia ajoittain, joten 7.0.6 vaikutti ensi silmäyksellä melko normaalilta päivitykseltä.
Mutta todellisuudessa Apple korjasi suuri turvallisuusvirhe joka on mahdollisesti vaarantanut miljoonien ihmisten tiedot vuosien ajan. Lempinimellä "gotofail" vika on lentänyt tutkan alla jo jonkin aikaa, eikä sitä ole vieläkään korjattu OS X: ssä.
Gotofaililla on väitetysti on ollut läsnä iOS 6: n käyttöönoton jälkeen, ja seuraukset ovat melko vakavia. Tähän asti iOS-laitteet, jotka käyttävät Internetiä SSL-yhteyden kautta, ovat olleet alttiita hakkereille, jotka sieppaavat heidän tietonsa, tai "keskellä" -hyökkäyksille.
Pohjimmiltaan vika sallii suojatun verkkoliikenteen SSL/TLS: n kautta, jonka joku muu samassa verkossa kaappaa. Se on suhteellisen yksinkertainen prosessi kaikille, jotka tietävät virheestä.
Turvallisuusyritys CrowdStrike selittää:
IOS- ja OS X -alustojen todennuslogiikan puutteen vuoksi hyökkääjä voi ohittaa SSL/TLS -vahvistusrutiineja yhteyden ensimmäisen kättelyn yhteydessä. Tämän avulla vastustaja voi naamioida olevansa peräisin luotetusta etäpäätepisteestä, kuten suosikkiverkkopostipalveluntarjoajalta, ja suorittaa salatun salakuuntelun kokonaan liikennettä sinun ja kohdepalvelimen välillä sekä antaa niille mahdollisuuden muokata tietoja lennon aikana (esimerkiksi toimittaa hyväksikäyttöjä hallitaksesi järjestelmä).
Gotofail rajoittuu Applen sovelluksiin ja palveluihin, kuten Safariin ja Messagesiin. Joten kolmannen osapuolen selaimet, kuten Chrome, pitäisi olla kunnossa.
Monet OS X: n osat ovat edelleen haavoittuvia, mukaan lukien Applen ohjelmistopäivitysmekanismi.
Tässä on joitain sovelluksia, jotka tukeutuvat haavoittuvaan Appleen #gotofail SSL -kirjasto Safarin /cc: n ulkopuolella @a_greenbergpic.twitter.com/ombDOOa01A
- ashkan soltani (@ashk4n) 23. helmikuuta 2014
Muut tunnetut hakkerit ovat ilmaisseet huolensa havainnoista:
Ei tarvita iOS -asiantuntemusta, että pahikset käyttävät väärin Applen juuri korjattua SSL -vikaa. Monet muut voivat hyödyntää (huonoja) SSL -virheitä kuin tavallinen iOS -virhe
- MuscleNerd (@MuscleNerd) 22. helmikuuta 2014
Ihmiset julkisissa wifi -verkoissa (Sotši?), Älä vain käytä iOS -laitettasi, jos sitä ei ole päivitetty iOS 7.0.6: een. Älä käytä Mac -kirjaasi. - pod2g (@pod2g) 22. helmikuuta 2014
Kyllä, iOS: n suojaus <7.0.6 on nyt niin huono, että kehotan kaikkia päivittämään nopeasti. - pod2g (@pod2g) 22. helmikuuta 2014
Ei ole vaikea ymmärtää: HTTPS ei toimi OSX- ja iOS <7.0.6 -käyttöjärjestelmissä. Salasanasi ja luottokorttitietosi voidaan siepata verkostoissa.
- pod2g (@pod2g) 22. helmikuuta 2014
Jopa pankit ottavat yhteyttä asiakkaisiinsa ja neuvovat heitä päivittämään iOS 7.0.6 -version välittömästi. "Asenna tämä päivitys mahdollisimman pian, jotta tietosi ovat mahdollisimman turvassa", varoitti vain verkkopankki Yksinkertainen eilen sähköpostitse asiakkaille.
Ehkä kaikkein huolestuttavinta tässä kaikessa on esittämä teoria Daring Fireballin John Gruber. Gotofail otettiin käyttöön julkaisemalla iOS 6 syyskuussa 2012, ja Apple lisättiin NSA: n PRISM -vakoiluohjelmaan lokakuussa 2012.
Kun NSA on paikallaan, sen ei olisi tarvinnut edes etsiä vikaa lukemalla lähdekoodia manuaalisesti. He tarvitsevat vain automaattisia testejä, joissa käytetään väärennettyjä varmenteita ja joita he käyttävät jokaisen käyttöjärjestelmän jokaista uutta julkaisua vastaan. Apple julkaisee iOS: n, NSA: n automaattinen väärennetty varmennetestaus löytää haavoittuvuuden, ja puomi, Apple "lisätään" PRISMiin.
Tai ehkä ei mitään, ja tämä kaikki on sattumaa.
Apple julkaisi viime yönä lausunnon Reuters, sanomalla, että se oli tietoinen samasta SSL -virheestä, joka on edelleen olemassa OS X: ssä. Korjaus julkaistaan pian:
Apple Inc sanoi lauantaina, että se julkaisee ohjelmistopäivityksen "hyvin pian", jotta vakoojien ja hakkereiden kyky kaapata sähköpostit, taloudelliset tiedot ja muut arkaluonteiset tiedot Mac -tietokoneilta estetään.
Tutkijoiden havainnot vahvistivat myöhään perjantaina, että suuri suojausvirhe iPhonissa ja iPadissa näkyy myös kannettavissa ja pöytäkoneissa Mac OS X, Applen tiedottaja Trudy Muller kertoi Reutersille: ”Olemme tietoisia tästä ongelmasta ja meillä on jo ohjelmistokorjaus, joka julkaistaan hyvin pian."
