Dana 21. veljače, Apple je izdao iOS 7.0.6, malo ažuriranje softvera koje je pružilo "popravak za provjeru SSL veze". Isti SSL popravak objavljen je i za starije iOS 6 uređaje i Apple TV. Apple s vremena na vrijeme istiskuje manje ispravke programskih pogrešaka, pa se na prvi pogled 7.0.6 činilo kao sasvim normalno ažuriranje.
No, u stvarnosti je Apple zakrpao datoteku veliki sigurnosni propust što je godinama potencijalno ugrozilo podatke milijuna ljudi. Nadimak "gotofail", bug je već neko vrijeme letio ispod radara, a još uvijek nije zakrpan u OS X.
Gotofail ima navodno prisutna od uvođenja iOS -a 6, a implikacije su prilično ozbiljne. Do sada su iOS uređaji koji koriste internet putem SSL veze bili osjetljivi na hakere koji su presretali njihove podatke ili napada "čovjek-u-sredini".
U osnovi, greška dopušta da netko drugi na istoj mreži otme siguran web promet preko SSL/TLS -a. To je relativno jednostavan proces za svakoga tko poznaje nedostatak.
Sigurnosna tvrtka CrowdStrike objašnjava:
Zbog nedostatka logike provjere autentičnosti na iOS i OS X platformama, napadač može zaobići rutine provjere SSL/TLS -a nakon početnog rukovanja povezivanjem. To omogućuje neprijatelju da se maskira kao da dolazi od pouzdane udaljene krajnje točke, poput vašeg omiljenog davatelja web -pošte, te da izvrši potpuno presretanje šifriranih podataka prometa između vas i odredišnog poslužitelja, kao i da im date mogućnost izmjene podataka u letu (kao što je isporuka zloupotreba radi preuzimanja kontrole nad vašim sustav).
Gotofail je ograničen na Appleove aplikacije i usluge, poput Safarija i Poruka. Stoga bi preglednici trećih strana poput Chromea trebali biti u redu.
Mnogi dijelovi OS X su još uvijek ranjivi, uključujući Appleov mehanizam ažuriranja softvera.
Evo nekih aplikacija koje se oslanjaju na ranjivi Apple #gotofail SSL knjižnica izvan Safarija /cc @a_greenbergpic.twitter.com/ombDOOa01A
- ashkan soltani (@ashk4n) 23. veljače 2014
Drugi poznati hakeri izrazili su zabrinutost zbog nalaza:
Ne treba nikakva stručnost u iOS -u da bi loši momci zloupotrijebili SSL bug koji je Apple upravo popravio. Mnogo više njih može iskoristiti (loše) SSL bug od obične iOS pogreške
- MuscleNerd (@MuscleNerd) 22. veljače 2014
Ljudi na javnim WiFi mrežama (Soči?), Nemojte koristiti svoj iOS uređaj ako nije ažuriran na iOS 7.0.6. Nemojte koristiti svoj Mac Book. - pod2g (@pod2g) 22. veljače 2014
Da, sigurnost iOS -a <7.0.6 sada je toliko loša da savjetujem svima da se brzo ažuriraju. - pod2g (@pod2g) 22. veljače 2014
Nije teško razumjeti: HTTPS ne radi na OSX -u i iOS -u <7.0.6. Vaše lozinke i krediti kreditnih kartica mogu se presresti na mrežama.
- pod2g (@pod2g) 22. veljače 2014
Čak i banke kontaktiraju svoje klijente i savjetuju im da odmah ažuriraju na iOS 7.0.6. "Trebali biste instalirati ovo ažuriranje što je prije moguće kako biste bili sigurni da su vaši podaci što je moguće sigurniji", upozorila je banka samo na mreži Jednostavan u e -poruci kupcima jučer.
Ono što je možda najviše alarmantno u svemu ovome je teorija koju postavlja Odvažni Fireball John Gruber. Gotofail je predstavljen izdanjem iOS 6 u rujnu 2012., a Apple je dodan u špijunski program NSA -e "PRISM" u listopadu 2012. godine.
Kad se jednom postavi, NSA ne bi ni trebala pronaći grešku ručnim čitanjem izvornog koda. Sve što im je potrebno su automatizirani testovi koji koriste lažne certifikate i koji se izvode protiv svakog novog izdanja svakog OS -a. Apple izdaje iOS, automatizirano testiranje lažnih certifikata NSA -e otkriva ranjivost, a bum, Apple se "dodaje" u PRISM.
Ili, možda ništa, a sve je to slučajnost.
Apple je sinoć izdao priopćenje, po Reutersa, rekavši da je svjestan iste greške SSL -a koja još postoji u OS X. Uskoro će biti objavljen popravak:
Apple Inc je u subotu objavio da će "vrlo brzo" izdati ažuriranje softvera kako bi se špijunima i hakerima prekinula mogućnost preuzimanja e -pošte, financijskih informacija i drugih osjetljivih podataka s Mac računala.
Potvrđujući zaključke istraživača kasno u petak da se veliki sigurnosni propust u iPhoneima i iPadima pojavljuje i u prijenosnim i stolnim računalima koji rade Mac OS X, glasnogovornica Applea Trudy Muller rekla je Reutersu: “Svjesni smo ovog problema i već imamo popravak softvera koji će biti objavljen vrlo uskoro."