21 თებერვალს, Apple– მა გამოუშვა iOS 7.0.6, პროგრამული უზრუნველყოფის მცირე განახლება, რომელმაც უზრუნველყო „SSL კავშირის გადამოწმების გასწორება“. იგივე SSL გამოსწორება ასევე გამოვიდა ძველი iOS 6 მოწყობილობებისთვის და Apple TV. Apple დროდადრო უბიძგებს მცირე ზომის შეცდომების გამოსწორებას, ამიტომ ერთი შეხედვით 7.0.6 საკმაოდ ნორმალური განახლება ჩანდა.
სინამდვილეში, Apple– მა გაასწორა a უსაფრთხოების მთავარი ხარვეზი რამაც წლების განმავლობაში პოტენციურად კომპრომეტირება მოახდინა მილიონობით ადამიანის მონაცემებზე. მეტსახელად "gotofail", შეცდომა უკვე დიდი ხანია დაფრინავს რადარის ქვეშ და ის ჯერ კიდევ არ არის დაფიქსირებული OS X- ში.
გოთოფაილს აქვს ვითომდა ის იმყოფებოდა iOS 6 -ის დანერგვის დღიდან და შედეგები საკმაოდ მძიმეა. აქამდე, iOS მოწყობილობები, რომლებიც ინტერნეტს იყენებდნენ SSL კავშირის საშუალებით, დაუცველი იყვნენ ჰაკერების მიერ მათი მონაცემების ჩაჭედვისა და „ადამიანების შუაგულში“ თავდასხმების მიმართ.
ძირითადად, ხარვეზი საშუალებას აძლევს უსაფრთხო ვებ - ტრაფიკს SSL/TLS– ით გაიტაცოს ვინმემ იმავე ქსელში. ეს შედარებით მარტივი პროცესია ნებისმიერისთვის, რომელმაც იცის ნაკლი.
უსაფრთხოების ფირმა CrowdStrike განმარტავს:
IOS და OS X პლატფორმებზე ავტორიზაციის ლოგიკის ხარვეზის გამო, თავდამსხმელს შეუძლია გვერდის ავლით SSL/TLS გადამოწმების რუტინა პირველადი კავშირის ხელის ჩამორთმევისას. ეს საშუალებას აძლევს მოწინააღმდეგეს შენიღბვას, როგორც სანდო დისტანციური საბოლოო წერტილიდან, როგორიცაა თქვენი საყვარელი ვებ - გვერდის პროვაიდერი და დაასრულოს დაშიფრული ტრაფიკი თქვენსა და დანიშნულების სერვერს შორის, ასევე მიეცით მათ შესაძლებლობა შეცვალონ მონაცემები ფრენისას (როგორიცაა ექსპლუატაციის განხორციელება თქვენი კონტროლის აღების მიზნით) სისტემა).
Gotofail შემოიფარგლება Apple– ის პროგრამებითა და სერვისებით, როგორიცაა Safari და Messages. ასე რომ, მესამე მხარის ბრაუზერები, როგორიცაა Chrome, კარგად უნდა იყოს.
OS X– ის მრავალი ნაწილი კვლავ დაუცველია, მათ შორის Apple– ის პროგრამული უზრუნველყოფის განახლების მექანიზმი.
აქ არის რამოდენიმე აპლიკაცია, რომელიც ეყრდნობა დაუცველ Apple- ს #მიტოვებული SSL ბიბლიოთეკა Safari /cc– ს მიღმა @a_greenbergpic.twitter.com/ombDOOa01A
- აშკან სოლტანი (@ashk4n) 2014 წლის 23 თებერვალი
სხვა ცნობილმა ჰაკერებმა გამოთქვეს შეშფოთება დასკვნების გამო:
ეს არ საჭიროებს iOS გამოცდილებას ცუდ ბიჭებს შეურაცხყოფა მიაყენონ SSL შეცდომას, რომელიც Apple უბრალოდ გამოასწორა. ბევრად მეტს შეუძლია გამოიყენოს (ცუდი) SSL შეცდომა, ვიდრე ჩვეულებრივი iOS შეცდომები
- MuscleNerd (@MuscleNerd) 2014 წლის 22 თებერვალი
ხალხი საჯარო wifi ქსელებში (სოჭი?), გთხოვთ, უბრალოდ არ გამოიყენოთ თქვენი iOS მოწყობილობა, თუ ის არ განახლებულია iOS 7.0.6 -ზე. არ გამოიყენოთ თქვენი Mac წიგნი. - pod2g (@pod2g) 2014 წლის 22 თებერვალი
დიახ, iOS– ის უსაფრთხოება <7.0.6 არის იმდენად ცუდი, რომ ყველას ვურჩევ სწრაფად განახლებას. - pod2g (@pod2g) 2014 წლის 22 თებერვალი
ძნელი გასაგები არ არის: HTTPS არ მუშაობს OSX და iOS <7.0.6. თქვენი პაროლები და საკრედიტო ბარათის კრედიტები შეიძლება ჩაერიოს ქსელებში.
- pod2g (@pod2g) 2014 წლის 22 თებერვალი
ბანკებიც კი დაუკავშირდებიან თავიანთ კლიენტებს და ურჩევენ დაუყოვნებლივ განახლდნენ iOS 7.0.6 -ზე. ”თქვენ უნდა დააინსტალიროთ ეს განახლება რაც შეიძლება მალე, რათა დარწმუნდეთ, რომ თქვენი ინფორმაცია მაქსიმალურად უსაფრთხოა”,-გააფრთხილა მხოლოდ ონლაინ ბანკმა უბრალო გუშინ მომხმარებელს გაგზავნილ წერილში.
ამ ყველაფერში ალბათ ყველაზე საგანგაშო არის თეორია გაბედული ცეცხლის ბურთის ჯონ გრუბერი. Gotofail დაინერგა iOS 6 -ის გამოშვებით 2012 წლის სექტემბერში და Apple დაემატა NSA– ს ჯაშუშობის პროგრამას „PRISM“ 2012 წლის ოქტომბერში.
ადგილზე შესვლისთანავე, NSA– ს არც კი დასჭირდებოდა ხარვეზის პოვნა წყაროს კოდის ხელით წაკითხვით. ყველაფერი რაც მათ დასჭირდებათ არის ავტომატური ტესტები გაყალბებული სერთიფიკატების გამოყენებით, რომლებიც ეწინააღმდეგება ყველა ოპერაციული სისტემის ახალ ვერსიას. Apple ავრცელებს iOS- ს, NSA– ს ავტომატური გაყალბებული სერტიფიკატის ტესტირება აღმოაჩენს დაუცველობას და ბუმია, Apple ხდება „დამატებული“ PRISM– ში.
ან, შესაძლოა, არაფერი და ეს ყველაფერი დამთხვევაა.
Apple– მა გასულ ღამეს გამოაქვეყნა განცხადება როიტერიდა თქვა, რომ მან იცოდა იგივე SSL ხარვეზის შესახებ, რომელიც ჯერ კიდევ არსებობს OS X- ში. გამოსავალი მალე გამოქვეყნდება:
Apple Inc– მ განაცხადა შაბათს, რომ ის გამოუშვებს პროგრამულ უზრუნველყოფას „ძალიან მალე“, რათა შეწყვიტოს ჯაშუშებისა და ჰაკერების უნარი, მიიღონ ელ.ფოსტა, ფინანსური ინფორმაცია და სხვა მგრძნობიარე მონაცემები Mac კომპიუტერებიდან.
პარასკევს გვიან მკვლევართა დასკვნების დადასტურება, რომ iPhone– სა და iPad– ებში უსაფრთხოების მთავარი ხარვეზი ასევე ჩნდება ნოუთბუქებსა და დესკტოპის აპარატებში. Mac OS X, Apple– ის სპიკერმა ტრუდი მიულერმა განუცხადა როიტერს: ”ჩვენ ვიცით ეს საკითხი და უკვე გვაქვს პროგრამული უზრუნველყოფის გამოსწორება, რომელიც გამოვა ძალიან მალე. ”
