21 Şubat'ta, Apple, iOS 7.0.6'yı yayınladı, "SSL bağlantı doğrulaması için bir düzeltme" sağlayan küçük bir yazılım güncellemesi. Aynı SSL düzeltmesi, daha eski iOS 6 cihazları ve Apple TV için de yayınlandı. Apple zaman zaman daha küçük hata düzeltmeleri yayınlar, bu nedenle ilk bakışta 7.0.6 oldukça normal bir güncelleme gibi görünüyordu.
Ama gerçekte, Apple bir büyük güvenlik açığı bu, milyonlarca insanın verilerini yıllarca tehlikeye atmış olabilir. "Gotofail" lakaplı böcek, bir süredir radarın altında uçuyor ve hala OS X'te yamalanmadı.
Gotofail'in sahip olduğu iddiaya göre iOS 6'nın piyasaya sürülmesinden bu yana mevcut ve sonuçları oldukça şiddetli. Şimdiye kadar, bir SSL bağlantısı üzerinden internet kullanan iOS cihazları, verilerini ele geçiren bilgisayar korsanlarına veya "ortadaki adam" saldırılarına karşı savunmasızdı.
Temel olarak, hata, SSL/TLS üzerinden güvenli web trafiğinin aynı ağdaki başka biri tarafından ele geçirilmesine izin verir. Kusur hakkında bilgisi olan herkes için nispeten basit bir işlemdir.
güvenlik firması CrowdStrike açıklar:
iOS ve OS X platformlarındaki kimlik doğrulama mantığındaki bir kusur nedeniyle, bir saldırgan, ilk bağlantı anlaşmasında SSL/TLS doğrulama rutinlerini atlayabilir. Bu, bir rakibin, favori web posta sağlayıcınız gibi güvenilir bir uzak uç noktadan geliyormuş gibi görünmesini ve şifreli mesajların tam olarak ele geçirilmesini sağlar. siz ve hedef sunucu arasındaki trafiğin yanı sıra, onlara uçuş halindeki verileri değiştirme yeteneği verin (örneğin, sunucunuzun kontrolünü ele geçirmek için açıklardan yararlanma sistem).
Gotofail, Apple'ın Safari ve Mesajlar gibi uygulamaları ve hizmetleriyle sınırlıdır. Bu nedenle, Chrome gibi üçüncü taraf tarayıcılar iyi durumda olmalıdır.
Apple'ın yazılım güncelleme mekanizması da dahil olmak üzere OS X'in birçok bölümü hala savunmasızdır.
İşte savunmasız Apple'a dayanan uygulamalardan bazıları #başarısız Safari /cc'nin ötesinde SSL kitaplığı @a_greenbergpic.twitter.com/ombDOOa01A
— ashkan soltani (@ashk4n) 23 Şubat 2014
Diğer tanınmış bilgisayar korsanları, bulgularla ilgili endişelerini dile getirdiler:
Kötü adamların Apple'ın yeni düzelttiği SSL hatasını kötüye kullanması için iOS uzmanlığı gerekmez. Normal bir iOS hatasından çok daha fazlası (kötü için) SSL hatasını kullanabilir
— MuscleNerd (@MuscleNerd) 22 Şubat 2014
Herkese açık kablosuz ağlardaki (Sochi?) kişiler, lütfen iOS 7.0.6'ya güncellenmemişse iOS cihazınızı kullanmayın. Mac Book'unuzu kullanmayın. - pod2g (@pod2g) 22 Şubat 2014
Evet, iOS < 7.0.6'nın güvenliği artık o kadar kötü ki herkese hızlı güncelleme yapmasını tavsiye ediyorum. - pod2g (@pod2g) 22 Şubat 2014
Anlaması zor değil: HTTPS, OSX ve iOS < 7.0.6'da çalışmıyor. Şifreleriniz ve kredi kartı bilgileriniz ağlarda ele geçirilebilir.
- pod2g (@pod2g) 22 Şubat 2014
Bankalar bile müşterileriyle iletişime geçerek bir an önce iOS 7.0.6'ya güncellemelerini tavsiye ediyor. Yalnızca çevrimiçi banka, "Bilgilerinizin mümkün olduğunca güvenli olduğundan emin olmak için bu güncellemeyi mümkün olan en kısa sürede yüklemelisiniz" diye uyardı. Basit dün müşterilere gönderilen bir e-postada.
Bütün bunlar hakkında belki de en endişe verici olan şey, onun tarafından ortaya atılan teoridir. Daring Fireball'dan John Gruber. Gotofail, Eylül 2012'de iOS 6'nın piyasaya sürülmesiyle tanıtıldı ve Apple, Ekim 2012'de NSA'nın “PRISM” casusluk programına eklendi.
Yerleştirildikten sonra, NSA'nın kaynak kodunu manuel olarak okuyarak hatayı bulması gerekmeyecekti. Tek ihtiyaçları olan, her işletim sisteminin her yeni sürümüne karşı çalıştırdıkları sahte sertifikaları kullanan otomatik testler. Apple iOS'u yayınladı, NSA'nın otomatik sahte sertifika testi güvenlik açığını buldu ve patlama, Apple PRISM'e "eklendi".
Ya da belki hiçbir şey ve bunların hepsi bir tesadüf.
Apple dün gece bir bildiri yayınladı. Reuters, OS X'te hala var olan aynı SSL hatasının farkında olduğunu söyleyerek. Yakında bir düzeltme yayınlanacak:
Apple Inc Cumartesi günü yaptığı açıklamada, casusların ve bilgisayar korsanlarının Mac bilgisayarlardan e-posta, finansal bilgi ve diğer hassas verileri alma yeteneklerini kesmek için "çok yakında" bir yazılım güncellemesi yayınlayacağını söyledi.
Araştırmacıların Cuma günü geç saatlerde iPhone ve iPad'lerde büyük bir güvenlik açığının çalışan dizüstü ve masaüstü makinelerinde de görüldüğüne dair bulgularını doğruladı. Mac OS X, Apple sözcüsü Trudy Muller, Reuters'e şunları söyledi: "Bu sorunun farkındayız ve halihazırda piyasaya sürülecek bir yazılım düzeltmemiz var. yakın zamanda."