Op 21 februari, Apple heeft iOS 7.0.6 uitgebracht, een kleine software-update die "een oplossing voor SSL-verbindingsverificatie" bood. Dezelfde SSL-fix is ook uitgebracht voor oudere iOS 6-apparaten en de Apple TV. Apple publiceert van tijd tot tijd kleinere bugfixes, dus op het eerste gezicht leek 7.0.6 een vrij normale update.
Maar in werkelijkheid heeft Apple een grote beveiligingsfout die mogelijk jarenlang de gegevens van miljoenen mensen in gevaar heeft gebracht. Bijgenaamd "gotofail", de bug vliegt al geruime tijd onder de radar en is nog steeds niet gepatcht in OS X.
Gotofail heeft naar men zegt aanwezig sinds de introductie van iOS 6, en de implicaties zijn behoorlijk ernstig. Tot nu toe waren iOS-apparaten die internet gebruiken via een SSL-verbinding kwetsbaar voor hackers die hun gegevens onderscheppen, of 'man-in-the-middle'-aanvallen.
Kortom, de bug zorgt ervoor dat veilig webverkeer via SSL/TLS kan worden gekaapt door iemand anders op hetzelfde netwerk. Het is een relatief eenvoudig proces voor iedereen met kennis van de fout.
Het beveiligingsbedrijf CrowdStrike verklaart:
Vanwege een fout in de authenticatielogica op iOS- en OS X-platforms, kan een aanvaller SSL/TLS-verificatieroutines omzeilen bij de eerste verbindingshandshake. Hierdoor kan een tegenstander zich voordoen als afkomstig van een vertrouwd extern eindpunt, zoals uw favoriete webmailprovider, en volledige onderschepping van versleutelde verkeer tussen u en de bestemmingsserver, en geef ze de mogelijkheid om de gegevens tijdens de vlucht te wijzigen (zoals het leveren van exploits om de controle over uw systeem).
Gotofail is beperkt tot de apps en services van Apple, zoals Safari en Berichten. Dus browsers van derden zoals Chrome zouden in orde moeten zijn.
Veel delen van OS X zijn nog steeds kwetsbaar, inclusief het software-updatemechanisme van Apple.
Hier zijn enkele van de apps die afhankelijk zijn van de kwetsbare Apple #gotofail SSL-bibliotheek buiten Safari /cc @a_greenbergpic.twitter.com/ombDOOa01A
— Ashkan Soltani (@ashk4n) 23 februari 2014
Andere bekende hackers hebben hun bezorgdheid geuit over de bevindingen:
Er is geen iOS-expertise voor nodig voor slechteriken om de SSL-bug te misbruiken die Apple zojuist heeft opgelost. Veel meer kunnen misbruik maken van (voor slechte) SSL-bug dan een normale iOS-bug
— SpierNerd (@MuscleNerd) 22 februari 2014
Mensen op openbare wifi-netwerken (Sochi?), Gebruik uw iOS-apparaat alstublieft niet als het niet is bijgewerkt naar iOS 7.0.6. Gebruik uw Mac Book niet. — pod2g (@pod2g) 22 februari 2014
Ja, de beveiliging van iOS < 7.0.6 is nu zo slecht dat ik iedereen aanraad om snel te updaten. — pod2g (@pod2g) 22 februari 2014
Niet moeilijk te begrijpen: HTTPS werkt niet op OSX en iOS < 7.0.6. Uw wachtwoorden en creditcardgegevens kunnen op netwerken worden onderschept.
— pod2g (@pod2g) 22 februari 2014
Zelfs banken nemen contact op met hun klanten en adviseren hen om onmiddellijk te updaten naar iOS 7.0.6. "Je moet deze update zo snel mogelijk installeren om ervoor te zorgen dat je informatie zo veilig mogelijk is", waarschuwde de bank die alleen online is Eenvoudig gisteren in een e-mail aan klanten.
Wat misschien het meest verontrustend is aan dit alles, is de theorie die wordt geponeerd door John Gruber van Daring Fireball. Gotofail werd geïntroduceerd met de release van iOS 6 in september 2012 en Apple werd in oktober 2012 toegevoegd aan het "PRISM"-spionageprogramma van de NSA.
Eenmaal geïnstalleerd, had de NSA de bug niet eens hoeven te vinden door de broncode handmatig te lezen. Het enige dat ze nodig hebben, zijn geautomatiseerde tests met vervalste certificaten die ze tegen elke nieuwe release van elk besturingssysteem uitvoeren. Apple brengt iOS uit, de geautomatiseerde vervalste certificaattest van de NSA vindt de kwetsbaarheid, en boem, Apple wordt "toegevoegd" aan PRISM.
Of misschien niets, en dit is allemaal toeval.
Apple heeft gisteravond een verklaring uitgegeven, per Reuters, en zei dat het op de hoogte was van dezelfde SSL-bug die nog steeds bestaat in OS X. Er wordt binnenkort een fix uitgebracht:
Apple Inc zei zaterdag dat het "zeer binnenkort" een software-update zou uitbrengen om het vermogen van spionnen en hackers om e-mail, financiële informatie en andere gevoelige gegevens van Mac-computers te verkrijgen, af te snijden.
Bevestiging van de bevindingen van onderzoekers eind vrijdag dat een grote beveiligingsfout in iPhones en iPads ook voorkomt in draaiende notebooks en desktops Mac OS X, Apple-woordvoerster Trudy Muller vertelde Reuters: "We zijn op de hoogte van dit probleem en hebben al een software-fix die zeer binnenkort zal worden vrijgegeven. spoedig."
