21. februar, Apple ga ut iOS 7.0.6, en liten programvareoppdatering som ga "en løsning for verifisering av SSL -tilkobling." Den samme SSL -løsningen ble også utgitt for eldre iOS 6 -enheter og Apple TV. Apple presser ut mindre feilrettinger fra tid til annen, så ved første øyekast virket 7.0.6 som en ganske normal oppdatering.
Men i virkeligheten lappet Apple en stor sikkerhetsfeil som potensielt har kompromittert millioner av folks data i årevis. Kallenavnet "gotofail", har feilen flydd under radaren på en stund, og den har fremdeles ikke blitt lappet i OS X.
Gotofail har angivelig vært til stede siden introduksjonen av iOS 6, og konsekvensene er ganske alvorlige. Inntil nå har iOS-enheter som bruker internett via en SSL-tilkobling vært sårbare for hackere som fanger opp dataene sine, eller "man-in-the-middle" -angrep.
I utgangspunktet tillater feilen at sikker webtrafikk over SSL/TLS kan bli kapret av noen andre på samme nettverk. Det er en relativt enkel prosess for alle med kunnskap om feilen.
Sikkerhetsfirmaet CrowdStrike forklarer:
På grunn av en feil i autentiseringslogikk på iOS- og OS X -plattformer, kan en angriper omgå SSL/TLS -bekreftelsesrutiner ved det første tilkoblingshåndtrykket. Dette gjør det mulig for en motstander å fremstille seg som et fra et klarert eksternt endepunkt, for eksempel din favoritt webmailleverandør og utføre full avlytting av krypterte trafikk mellom deg og destinasjonsserveren, samt gi dem muligheten til å endre dataene under flyging (for eksempel å levere bedrifter for å ta kontroll over din system).
Gotofail er begrenset til Apples apper og tjenester, som Safari og Meldinger. Så tredjeparts nettlesere som Chrome burde være fine.
Mange deler av OS X er fortsatt sårbare, inkludert Apples mekanisme for programvareoppdatering.
Her er noen av appene som er avhengige av det sårbare Apple #gotofail SSL -bibliotek utover Safari /cc @a_greenbergpic.twitter.com/ombDOOa01A
- ashkan soltani (@ashk4n) 23. februar 2014
Andre kjente hackere har uttrykt bekymring over funnene:
Det krever ingen iOS -ekspertise for skurkene å misbruke SSL -feilen Apple nettopp har løst. Mange flere kan utnytte (for dårlig) SSL -feil enn en vanlig iOS -feil
- MuscleNerd (@MuscleNerd) 22. februar 2014
Folk på offentlige wifi -nettverk (Sotsji?), Vær så snill å ikke bruke iOS -enheten din hvis den ikke er oppdatert til iOS 7.0.6. Ikke bruk Mac -boken din. - pod2g (@pod2g) 22. februar 2014
Ja, sikkerheten til iOS <7.0.6 er nå så dårlig at jeg råder alle til å oppdatere raskt. - pod2g (@pod2g) 22. februar 2014
Ikke vanskelig å forstå: HTTPS fungerer ikke på OSX og iOS <7.0.6. Passordene og kredittkortets kredittkort kan fanges opp på nettverk.
- pod2g (@pod2g) 22. februar 2014
Selv banker kontakter sine kunder og råder dem til å oppdatere til iOS 7.0.6 umiddelbart. "Du bør installere denne oppdateringen så snart du kan for å sikre at informasjonen din er så trygg som mulig," advarte nettbanken Enkel i en e -post til kundene i går.
Det som kanskje er mest alarmerende med alt dette, er teorien Daring Fireball's John Gruber. Gotofail ble introdusert med utgivelsen av iOS 6 i september 2012, og Apple ble lagt til NSAs "PRISM" spioneringsprogram i oktober 2012.
Når den var på plass, ville NSA ikke engang ha trengt å finne feilen ved å lese kildekoden manuelt. Alt de trenger er automatiserte tester ved hjelp av falske sertifikater som de kjører mot hver ny versjon av hvert operativsystem. Apple lanserer iOS, NSAs automatiske forfalskede sertifikattesting finner sårbarheten, og boom, Apple blir "lagt" til PRISM.
Eller, kanskje ingenting, og dette er helt tilfeldig.
Apple ga ut en uttalelse i går kveld, pr Reutersog sa at den var klar over den samme SSL -feilen som fremdeles eksisterer i OS X. En rettelse kommer snart:
Apple Inc sa lørdag at den ville utstede en programvareoppdatering "veldig snart" for å kutte spioner og hackers evne til å hente e -post, finansiell informasjon og andre sensitive data fra Mac -datamaskiner.
Bekrefter forskernes funn sent fredag at en stor sikkerhetsfeil i iPhone og iPad også vises i bærbare og stasjonære maskiner Mac OS X, talsperson for Apple, Trudy Muller, sa til Reuters: "Vi er klar over dette problemet og har allerede en programvareoppdatering som vil bli utgitt veldig snart."
