2月21日、 AppleはiOS7.0.6をリリースしました、「SSL接続検証の修正」を提供する小さなソフトウェアアップデート。 同じSSL修正が古いiOS6デバイスとAppleTVにもリリースされました。 Appleは時々小さなバグ修正をプッシュしているので、一見すると7.0.6はかなり普通のアップデートのように見えた。
しかし実際には、Appleはパッチを当てました 重大なセキュリティ上の欠陥 これは、何百万もの人々のデータを何年にもわたって危険にさらしている可能性があります。 「gotofail」と呼ばれるこのバグは、かなり前からレーダーの下で飛んでいましたが、OSXではまだパッチが適用されていません。
Gotofailは 伝えられるところでは iOS 6の導入以来存在しており、その影響は非常に深刻です。 これまで、SSL接続を介してインターネットを使用するiOSデバイスは、ハッカーがデータを傍受したり、「中間者」攻撃を受けたりする可能性がありました。
基本的に、このバグにより、SSL / TLSを介した安全なWebトラフィックが同じネットワーク上の他の誰かによってハイジャックされる可能性があります。 これは、欠陥を知っている人にとっては比較的簡単なプロセスです。
警備会社 CrowdStrike 説明:
iOSおよびOSXプラットフォームの認証ロジックに欠陥があるため、攻撃者は最初の接続ハンドシェイク時にSSL / TLS検証ルーチンをバイパスできます。 これにより、攻撃者は、お気に入りのWebメールプロバイダーなどの信頼できるリモートエンドポイントから来たように見せかけ、暗号化されたものを完全に傍受することができます。 あなたと宛先サーバーの間のトラフィック、および飛行中のデータを変更する機能を提供します(エクスプロイトを配信してあなたを制御するなど) システム)。
Gotofailは、SafariやメッセージなどのAppleのアプリとサービスに限定されています。 したがって、Chromeのようなサードパーティのブラウザで十分です。
Appleのソフトウェア更新メカニズムなど、OSXの多くの部分は依然として脆弱です。
脆弱なAppleに依存しているアプリのいくつかを次に示します #gotofail Safari / cc以外のSSLライブラリ @a_greenbergpic.twitter.com/ombDOOa01A
—アシュカン・ソルタニ(@ ashk4n) 2014年2月23日
他の有名なハッカーは、調査結果について懸念を表明しています。
悪者がAppleが修正したSSLバグを悪用するのにiOSの専門知識は必要ありません。 通常のiOSのバグよりもはるかに多くの人が(悪い場合に)SSLのバグを悪用する可能性があります
— MuscleNerd(@MuscleNerd) 2014年2月22日
公共のWi-Fiネットワーク(ソチ?)を利用している場合は、iOS 7.0.6に更新されていない場合は、iOSデバイスを使用しないでください。 MacBookは使用しないでください。 — pod2g(@ pod2g) 2014年2月22日
ええ、iOS <7.0.6のセキュリティは今とても悪いので、私はみんなに早く更新するようにアドバイスします。 — pod2g(@ pod2g) 2014年2月22日
理解するのは難しくありません:HTTPSはOSXおよびiOS <7.0.6では機能しません。 パスワードとクレジットカードのクレジットは、ネットワーク上で傍受される可能性があります。
— pod2g(@ pod2g) 2014年2月22日
銀行でさえ顧客に連絡を取り、iOS7.0.6にすぐにアップデートするようにアドバイスしています。 「情報が可能な限り安全であることを確認するために、できるだけ早くこのアップデートをインストールする必要があります」とオンラインのみの銀行は警告しました 単純 昨日顧客へのメールで。
これらすべてについておそらく最も憂慮すべきことは、 大胆な火の玉のジョングルーバー. Gotofailは2012年9月のiOS6のリリースで導入され、Appleは2012年10月にNSAの「PRISM」スパイプログラムに追加されました。
設置が完了すると、NSAはソースコードを手動で読み取ってバグを見つける必要さえありませんでした。 必要なのは、すべてのOSの新しいリリースごとに実行されるスプーフィングされた証明書を使用した自動テストだけです。 AppleはiOSをリリースし、NSAの自動化されたなりすまし証明書テストが脆弱性を発見し、ブーム、AppleはPRISMに「追加」されます。
または、おそらく何もありません、そしてこれはすべて偶然です。
Appleは昨夜声明を発表した。 ロイター、OSXにまだ存在する同じSSLバグを認識していると述べています。 修正はまもなく発行されます:
Apple Incは土曜日に、スパイやハッカーがMacコンピュータから電子メール、財務情報、その他の機密データを取得する機能を遮断するソフトウェアアップデートを「すぐに」発行すると発表した。
金曜日遅くに研究者の調査結果を確認すると、iPhoneとiPadの主要なセキュリティ上の欠陥が実行中のノートブックとデスクトップマシンにも現れる Mac OS X、Appleの広報担当者Trudy Mullerは、ロイターに次のように語っています。 すぐ。"