เมื่อวันที่ 21 ก.ย. Apple เปิดตัว iOS 7.0.6การอัปเดตซอฟต์แวร์ขนาดเล็กที่ให้ “การแก้ไขสำหรับการตรวจสอบการเชื่อมต่อ SSL” การแก้ไข SSL แบบเดียวกันนั้นได้รับการเผยแพร่สำหรับอุปกรณ์ iOS 6 รุ่นเก่าและ Apple TV Apple ออกการแก้ไขข้อผิดพลาดเล็กๆ น้อยๆ เป็นระยะๆ ดังนั้นในแวบแรก 7.0.6 จึงดูเหมือนเป็นการอัพเดทที่ค่อนข้างปกติ
แต่ในความเป็นจริง Apple ได้แก้ไข a ข้อบกพร่องด้านความปลอดภัยที่สำคัญ ที่อาจทำลายข้อมูลของผู้คนนับล้านมาหลายปี ชื่อเล่นว่า "gotofail" บั๊กนี้กำลังบินอยู่ใต้เรดาร์มาระยะหนึ่งแล้ว และมันยังไม่ได้รับการแก้ไขใน OS X
Gotofail มี ถูกกล่าวหา มีอยู่ตั้งแต่เปิดตัว iOS 6 และผลกระทบค่อนข้างรุนแรง จนถึงขณะนี้ อุปกรณ์ iOS ที่ใช้อินเทอร์เน็ตผ่านการเชื่อมต่อ SSL มีความเสี่ยงที่แฮกเกอร์จะสกัดกั้นข้อมูลของตน หรือการโจมตีแบบ "คนกลาง"
โดยพื้นฐานแล้ว บั๊กดังกล่าวอนุญาตให้บุคคลอื่นในเครือข่ายเดียวกันลักลอบใช้การรับส่งข้อมูลทางเว็บผ่าน SSL/TLS ได้อย่างปลอดภัย เป็นกระบวนการที่ค่อนข้างง่ายสำหรับผู้ที่มีความรู้เกี่ยวกับข้อบกพร่อง
บริษัทรักษาความปลอดภัย CrowdStrike อธิบายว่า:
เนื่องจากข้อบกพร่องในลอจิกการตรวจสอบสิทธิ์บนแพลตฟอร์ม iOS และ OS X ผู้โจมตีจึงสามารถข้ามขั้นตอนการตรวจสอบ SSL/TLS เมื่อเชื่อมต่อครั้งแรกได้ วิธีนี้ช่วยให้ฝ่ายตรงข้ามปลอมแปลงข้อมูลว่ามาจากปลายทางระยะไกลที่เชื่อถือได้ เช่น ผู้ให้บริการเว็บเมลที่คุณชื่นชอบและทำการสกัดกั้นเต็มรูปแบบของการเข้ารหัส การรับส่งข้อมูลระหว่างคุณและเซิร์ฟเวอร์ปลายทาง ตลอดจนให้ความสามารถในการแก้ไขข้อมูลในเที่ยวบิน (เช่น ส่งการหาประโยชน์เพื่อควบคุมของคุณ ระบบ).
GotoFail จำกัดเฉพาะแอปและบริการของ Apple เช่น Safari และ Messages ดังนั้นเบราว์เซอร์ของบุคคลที่สามอย่าง Chrome จึงน่าจะใช้ได้
หลายส่วนของ OS X ยังคงมีช่องโหว่ รวมถึงกลไกการอัปเดตซอฟต์แวร์ของ Apple
นี่คือแอพบางตัวที่ต้องพึ่งพา Apple. ที่มีช่องโหว่ #gotofail ไลบรารี SSL นอกเหนือจาก Safari /cc @a_greenbergpic.twitter.com/ombDOOa01A
— ashkan soltani (@ashk4n) 23 กุมภาพันธ์ 2014
แฮ็กเกอร์ที่มีชื่อเสียงรายอื่นๆ ได้แสดงความกังวลเกี่ยวกับการค้นพบนี้:
ไม่ต้องใช้ความเชี่ยวชาญ iOS สำหรับผู้ร้ายในการละเมิดจุดบกพร่อง SSL ที่ Apple เพิ่งแก้ไข สามารถใช้ประโยชน์จากจุดบกพร่อง SSL (ที่ไม่ดี) ได้มากกว่าข้อบกพร่องของ iOS ปกติ
– MuscleNerd (@MuscleNerd) 22 กุมภาพันธ์ 2014
ผู้คนในเครือข่าย wifi สาธารณะ (Sochi?) โปรดอย่าใช้อุปกรณ์ iOS ของคุณหากยังไม่ได้อัปเดตเป็น iOS 7.0.6 อย่าใช้ Mac Book ของคุณ — pod2g (@pod2g) 22 กุมภาพันธ์ 2014
ใช่ ความปลอดภัยของ iOS < 7.0.6 ตอนนี้แย่มาก ฉันแนะนำให้ทุกคนอัปเดตอย่างรวดเร็ว — pod2g (@pod2g) 22 กุมภาพันธ์ 2014
เข้าใจไม่ยาก: HTTPS ใช้งานไม่ได้บน OSX และ iOS < 7.0.6 รหัสผ่านและเครดิตของบัตรเครดิตของคุณอาจถูกสกัดกั้นบนเครือข่าย
— pod2g (@pod2g) 22 กุมภาพันธ์ 2014
แม้แต่ธนาคารก็ยังติดต่อลูกค้าและแนะนำให้อัปเดตเป็น iOS 7.0.6 ทันที “คุณควรติดตั้งโปรแกรมปรับปรุงนี้โดยเร็วที่สุดเพื่อให้แน่ใจว่าข้อมูลของคุณปลอดภัยที่สุด” ธนาคารออนไลน์เท่านั้นเตือน เรียบง่าย ในอีเมลถึงลูกค้าเมื่อวานนี้
สิ่งที่น่าตกใจที่สุดเกี่ยวกับเรื่องทั้งหมดนี้คือทฤษฎีของ จอห์น กรูเบอร์ จาก Daring Fireball. Gotofail เปิดตัวพร้อมกับ iOS 6 ในเดือนกันยายน 2555 และ Apple ถูกเพิ่มลงในโปรแกรมสอดแนม "PRISM" ของ NSA ในเดือนตุลาคม 2555
เมื่อเข้าที่แล้ว NSA ก็ไม่จำเป็นต้องค้นหาจุดบกพร่องด้วยการอ่านซอร์สโค้ดด้วยตนเอง สิ่งที่พวกเขาต้องมีคือการทดสอบอัตโนมัติโดยใช้ใบรับรองปลอมซึ่งใช้กับระบบปฏิบัติการรุ่นใหม่แต่ละรุ่น Apple เปิดตัว iOS การทดสอบใบรับรองปลอมอัตโนมัติของ NSA พบช่องโหว่ และความเฟื่องฟู Apple ได้รับการ "เพิ่ม" ใน PRISM
หรืออาจจะไม่มีอะไรเลย และทั้งหมดนี้เป็นเรื่องบังเอิญ
Apple ออกแถลงการณ์เมื่อคืนนี้ per รอยเตอร์โดยบอกว่าทราบถึงข้อบกพร่อง SSL เดียวกันที่ยังคงมีอยู่ใน OS X การแก้ไขจะออกเร็ว ๆ นี้:
Apple Inc กล่าวเมื่อวันเสาร์ว่าจะออกการอัปเดตซอฟต์แวร์ "เร็ว ๆ นี้" เพื่อตัดความสามารถของสายลับและแฮกเกอร์ในการคว้าอีเมล ข้อมูลทางการเงิน และข้อมูลสำคัญอื่น ๆ จากคอมพิวเตอร์ Mac
การยืนยันการค้นพบของนักวิจัยเมื่อปลายวันศุกร์ว่าข้อบกพร่องด้านความปลอดภัยที่สำคัญใน iPhone และ iPads ยังปรากฏในเครื่องโน้ตบุ๊กและเดสก์ท็อปที่ทำงานอยู่ Mac OS X โฆษกหญิงของ Apple Trudy Muller กล่าวกับสำนักข่าวรอยเตอร์ว่า "เราทราบปัญหานี้แล้วและมีโปรแกรมแก้ไขซอฟต์แวร์ที่จะเปิดตัวในเร็วๆ นี้ เร็ว ๆ นี้."