Em 21 de fevereiro, Apple lançou iOS 7.0.6, uma pequena atualização de software que fornecia “uma correção para verificação de conexão SSL”. A mesma correção SSL também foi lançada para dispositivos iOS 6 mais antigos e Apple TV. A Apple lança pequenas correções de bugs de tempos em tempos, então à primeira vista 7.0.6 parecia uma atualização bastante normal.
Mas, na realidade, a Apple corrigiu um grande falha de segurança que potencialmente comprometeu os dados de milhões de pessoas por anos. Apelidado de "gotofail", o bug está voando sob o radar há algum tempo e ainda não foi corrigido no OS X.
Gotofail tem alegadamente está presente desde a introdução do iOS 6, e as implicações são bastante graves. Até agora, os dispositivos iOS que usam a Internet por meio de uma conexão SSL eram vulneráveis à interceptação de seus dados por hackers ou ataques “man-in-the-middle”.
Basicamente, o bug permite que o tráfego da web seguro sobre SSL / TLS seja sequestrado por outra pessoa na mesma rede. É um processo relativamente simples para qualquer pessoa com conhecimento da falha.
A firma de segurança CrowdStrike explica:
Devido a uma falha na lógica de autenticação nas plataformas iOS e OS X, um invasor pode ignorar as rotinas de verificação SSL / TLS após o handshake de conexão inicial. Isso permite que um adversário se disfarce de um endpoint remoto confiável, como seu provedor de webmail favorito, e execute a interceptação completa de criptografados tráfego entre você e o servidor de destino, bem como dar a eles a capacidade de modificar os dados em trânsito (como entregar exploits para assumir o controle de seu sistema).
Gotofail está limitado a aplicativos e serviços da Apple, como Safari e Mensagens. Portanto, navegadores de terceiros como o Chrome devem funcionar.
Muitas partes do OS X ainda estão vulneráveis, incluindo o mecanismo de atualização de software da Apple.
Aqui estão alguns dos aplicativos que dependem do vulnerável Apple #gotofail Biblioteca SSL além do Safari / cc @a_greenbergpic.twitter.com/ombDOOa01A
- ashkan soltani (@ ashk4n) 23 de fevereiro de 2014
Outros hackers conhecidos expressaram preocupação com as descobertas:
Não é preciso ter experiência em iOS para que os bandidos abusem do bug SSL que a Apple acabou de consertar. Muitos mais podem explorar (para mau) bug SSL do que um bug normal do iOS
- MuscleNerd (@MuscleNerd) 22 de fevereiro de 2014
Pessoas em redes wi-fi públicas (Sochi?), Apenas não use seu dispositivo iOS se ele não estiver atualizado para iOS 7.0.6. Não use o seu Mac Book. - pod2g (@ pod2g) 22 de fevereiro de 2014
Sim, a segurança do iOS <7.0.6 agora é tão ruim que aconselho a todos que atualizem rapidamente. - pod2g (@ pod2g) 22 de fevereiro de 2014
Não é difícil de entender: HTTPS não funciona em OSX e iOS <7.0.6. Suas senhas e creds de cartão de crédito podem ser interceptados em redes.
- pod2g (@ pod2g) 22 de fevereiro de 2014
Até os bancos estão entrando em contato com seus clientes e aconselhando-os a atualizar para o iOS 7.0.6 imediatamente. “Você deve instalar esta atualização o mais rápido possível para garantir que suas informações estejam o mais seguras possível”, alertou o banco on-line Simples em um e-mail para clientes ontem.
O que talvez seja mais alarmante sobre tudo isso é a teoria postulada por John Gruber, da Daring Fireball. O Gotofail foi introduzido com o lançamento do iOS 6 em setembro de 2012, e a Apple foi adicionada ao programa de espionagem “PRISM” da NSA em outubro de 2012.
Uma vez instalado, a NSA nem precisaria encontrar o bug lendo manualmente o código-fonte. Tudo o que eles precisam são testes automatizados usando certificados falsificados que são executados em cada nova versão de cada sistema operacional. A Apple lança o iOS, o teste de certificado falsificado automatizado da NSA descobre a vulnerabilidade e, boom, a Apple é “adicionada” ao PRISM.
Ou talvez nada, e tudo isso uma coincidência.
A Apple emitiu um comunicado na noite passada, por Reuters, dizendo que estava ciente do mesmo bug SSL que ainda existe no OS X. Uma correção será emitida em breve:
A Apple Inc. anunciou no sábado que lançaria uma atualização de software "muito em breve" para impedir que espiões e hackers obtivessem e-mail, informações financeiras e outros dados confidenciais de computadores Mac.
Confirmando as descobertas dos pesquisadores na noite de sexta-feira, que uma grande falha de segurança em iPhones e iPads também aparece em notebooks e desktops em execução Mac OS X, a porta-voz da Apple, Trudy Muller, disse à Reuters: “Estamos cientes desse problema e já temos uma correção de software que será lançada muito em breve."