21 फरवरी को, Apple ने iOS 7.0.6. जारी किया, एक छोटा सा सॉफ़्टवेयर अद्यतन जो "SSL कनेक्शन सत्यापन के लिए एक समाधान" प्रदान करता है। पुराने iOS 6 उपकरणों और Apple TV के लिए भी वही SSL फ़िक्स जारी किया गया था। ऐप्पल समय-समय पर छोटे बग फिक्स करता है, इसलिए पहली नज़र में 7.0.6 एक सामान्य सामान्य अपडेट की तरह लग रहा था।
लेकिन वास्तव में, Apple ने एक समझौता किया प्रमुख सुरक्षा दोष जिसने वर्षों से लाखों लोगों के डेटा से संभावित रूप से समझौता किया है। उपनाम "गोटोफेल", बग काफी समय से रडार के नीचे उड़ रहा है, और इसे अभी भी ओएस एक्स में पैच नहीं किया गया है।
गोटोफेल है कथित तौर पर आईओएस 6 की शुरुआत के बाद से मौजूद है, और इसके प्रभाव काफी गंभीर हैं। अब तक, एसएसएल कनेक्शन पर इंटरनेट का उपयोग करने वाले आईओएस डिवाइस हैकर्स के लिए उनके डेटा, या "मैन-इन-द-मिडल" हमलों को बाधित करने के लिए कमजोर रहे हैं।
मूल रूप से, बग SSL/TLS पर सुरक्षित वेब ट्रैफ़िक को उसी नेटवर्क पर किसी अन्य व्यक्ति द्वारा अपहृत करने की अनुमति देता है। दोष के ज्ञान वाले किसी भी व्यक्ति के लिए यह अपेक्षाकृत सरल प्रक्रिया है।
सुरक्षा फर्म क्राउडस्ट्राइक बताते हैं:
आईओएस और ओएस एक्स प्लेटफॉर्म पर प्रमाणीकरण तर्क में एक दोष के कारण, एक हमलावर प्रारंभिक कनेक्शन हैंडशेक पर एसएसएल/टीएलएस सत्यापन दिनचर्या को बायपास कर सकता है। यह एक विरोधी को आपके पसंदीदा वेबमेल प्रदाता जैसे विश्वसनीय दूरस्थ समापन बिंदु से आने का बहाना बनाने में सक्षम बनाता है और एन्क्रिप्टेड का पूर्ण अवरोधन करता है आपके और गंतव्य सर्वर के बीच यातायात, साथ ही उन्हें उड़ान में डेटा को संशोधित करने की क्षमता प्रदान करता है (जैसे आपके नियंत्रण को नियंत्रित करने के लिए शोषण वितरित करना) प्रणाली)।
गोटोफेल ऐप्पल के ऐप्स और सेवाओं तक सीमित है, जैसे सफारी और संदेश। इसलिए क्रोम जैसे थर्ड पार्टी ब्राउजर ठीक होने चाहिए।
OS X के कई हिस्से अभी भी असुरक्षित हैं, जिनमें Apple का सॉफ़्टवेयर अपडेट मैकेनिज़्म भी शामिल है।
यहां कुछ ऐप्स दिए गए हैं जो कमजोर Apple पर निर्भर हैं #गोटोफेल सफारी/सीसी. से परे एसएसएल पुस्तकालय @a_greenbergpic.twitter.com/ombDOOa01A
- अशकन सोलतानी (@ashk4n) फरवरी २३, २०१४
अन्य प्रसिद्ध हैकर्स ने निष्कर्षों पर चिंता व्यक्त की है:
बुरे लोगों के लिए Apple द्वारा ठीक किए गए SSL बग का दुरुपयोग करने के लिए iOS विशेषज्ञता की आवश्यकता नहीं है। सामान्य आईओएस बग की तुलना में कई और अधिक (खराब के लिए) एसएसएल बग का फायदा उठा सकते हैं
- मसलनेर्ड (@MuscleNerd) 22 फरवरी 2014
सार्वजनिक वाईफाई नेटवर्क पर लोग (सोची?), कृपया अपने iOS डिवाइस का उपयोग न करें यदि यह iOS 7.0.6 में अपडेट नहीं है। अपनी मैक बुक का प्रयोग न करें। — pod2g (@pod2g) 22 फरवरी 2014
हाँ, iOS < 7.0.6 की सुरक्षा अब इतनी खराब है कि मैं सभी को शीघ्र अपडेट करने की सलाह देता हूँ। — pod2g (@pod2g) 22 फरवरी 2014
समझना मुश्किल नहीं है: HTTPS OSX और iOS <7.0.6.8 पर काम नहीं करता है। आपके पासवर्ड और क्रेडिट कार्ड क्रेडिट को नेटवर्क पर इंटरसेप्ट किया जा सकता है।
— pod2g (@pod2g) 22 फरवरी 2014
यहां तक कि बैंक भी अपने ग्राहकों से संपर्क कर उन्हें तुरंत आईओएस 7.0.6 अपडेट करने की सलाह दे रहे हैं। ऑनलाइन-केवल बैंक को चेतावनी दी, "आपको यह सुनिश्चित करने के लिए जितनी जल्दी हो सके इस अपडेट को स्थापित करना चाहिए ताकि आपकी जानकारी यथासंभव सुरक्षित हो।" सरल कल ग्राहकों को एक ईमेल में।
इस सब के बारे में शायद सबसे ज्यादा चौंकाने वाली बात यह है कि किसके द्वारा प्रस्तुत किया गया सिद्धांत है डेयरिंग फायरबॉल के जॉन ग्रुबेर. गोटोफेल को सितंबर 2012 में आईओएस 6 के रिलीज के साथ पेश किया गया था, और ऐप्पल को अक्टूबर 2012 में एनएसए के "प्रिज्म" जासूसी कार्यक्रम में जोड़ा गया था।
एक बार जगह में, एनएसए को स्रोत कोड को मैन्युअल रूप से पढ़कर बग खोजने की आवश्यकता नहीं होगी। उन्हें केवल नकली प्रमाणपत्रों का उपयोग करके स्वचालित परीक्षणों की आवश्यकता होगी जो वे प्रत्येक ओएस के प्रत्येक नए रिलीज के खिलाफ चलाते हैं। Apple ने iOS जारी किया, NSA के स्वचालित नकली प्रमाणपत्र परीक्षण में भेद्यता का पता चलता है, और उछाल, Apple को PRISM में "जोड़ा" जाता है।
या, शायद कुछ भी नहीं, और यह सब संयोग है।
ऐप्पल ने कल रात एक बयान जारी किया, प्रति रॉयटर्स, कह रहा है कि यह उसी एसएसएल बग से अवगत था जो अभी भी ओएस एक्स में मौजूद है। जल्द ही एक फिक्स जारी किया जाएगा:
ऐप्पल इंक ने शनिवार को कहा कि वह मैक कंप्यूटरों से ईमेल, वित्तीय जानकारी और अन्य संवेदनशील डेटा हथियाने के लिए जासूसों और हैकर्स की क्षमता को कम करने के लिए "बहुत जल्द" एक सॉफ्टवेयर अपडेट जारी करेगा।
शुक्रवार देर रात शोधकर्ताओं के निष्कर्षों की पुष्टि करते हुए कि iPhones और iPads में एक बड़ी सुरक्षा खामी नोटबुक और डेस्कटॉप मशीनों में भी दिखाई देती है मैक ओएस एक्स, ऐप्पल के प्रवक्ता ट्रुडी मुलर ने रॉयटर्स को बताया: "हम इस मुद्दे से अवगत हैं और पहले से ही एक सॉफ्टवेयर फिक्स है जो बहुत ही जारी किया जाएगा जल्द ही।"