Видео: Apple WWDC 2010 - iPhone 4 Introduction (Октября 2024)
Apple незаметно выпустила iOS 7.06 поздно вечером в пятницу, исправив проблему в том, как iOS 7 проверяет сертификаты SSL. Злоумышленники могут использовать эту проблему для запуска атаки «человек посередине» и подслушивать все действия пользователей, предупреждают эксперты.
«Злоумышленник с привилегированным положением в сети может захватывать или изменять данные в сеансах, защищенных SSL / TLS», - говорится в сообщении Apple.
Пользователи должны обновить немедленно.
Остерегайтесь подслушивающих
Как обычно, Apple не предоставила много информации о проблеме, но эксперты по безопасности, знакомые с этой уязвимостью, предупредили, что злоумышленники в той же сети, что и жертва, смогут читать защищенные соединения. В этом случае злоумышленник может перехватывать и даже изменять сообщения при их передаче с устройства iOS 7 пользователя на защищенные сайты, такие как Gmail или Facebook, или даже для сеансов онлайн-банкинга. По словам Дмитрия Альперовича, технического директора CrowdStrike, проблема заключается в «фундаментальной ошибке в реализации SSL Apple».
Обновление программного обеспечения доступно для текущей версии iOS для iPhone 4 и более поздних версий, iPod Touch 5-го поколения и iPad 2 и более поздних версий. iOS 7.06 и iOS 6.1.6. Тот же недостаток существует в последней версии Mac OS X, но еще не исправлен, написал Адам Лэнгли, старший инженер Google, в своем блоге ImperialViolet. Лэнгли подтвердил, что недостаток был также в iOS 7.0.4 и OS X 10.9.1
Проверка сертификата имеет решающее значение при установлении безопасных сеансов, поскольку именно так сайт (или устройство) проверяет, что информация поступает из надежного источника. Проверяя сертификат, веб-сайт банка узнает, что запрос исходит от пользователя, и не является поддельным запросом злоумышленника. Браузер пользователя также использует сертификат для проверки того, что ответ поступил от серверов банка, а не от злоумышленника, сидящего посередине и перехватывающего конфиденциальные сообщения.
Обновление устройств
Похоже, что Chrome и Firefox, которые используют NSS вместо SecureTransport, не подвержены этой уязвимости, даже если основная ОС уязвима, сказал Лэнгли. Он создал тестовый сайт по адресу https://www.imperialviolet.org:1266. «Если вы можете загрузить HTTPS-сайт через порт 1266, значит, у вас есть эта ошибка», - сказал Лэнгли.
Пользователи должны обновить свои устройства Apple как можно скорее, и, когда будет доступно обновление OS X, также применить этот патч. Обновления должны применяться в доверенной сети, и пользователи должны избегать доступа к защищенным сайтам в ненадежных сетях (особенно Wi-Fi) во время путешествий /
«На непропатченных мобильных и портативных устройствах установите для параметра« Запрос на присоединение к сети »значение« ВЫКЛ », что не позволит им отображать запросы на подключение к ненадежным сетям», - пишет Алекс Радочеа, исследователь из CrowdStrike.
Учитывая недавние опасения по поводу возможности отслеживания со стороны правительства, тот факт, что iPhone и iPad не проверяли сертификаты правильно, может вызывать тревогу у некоторых. «Я не собираюсь рассказывать подробности об ошибке Apple, а скажу следующее. Она серьезно эксплуатируется и еще не находится под контролем», - написал в Твиттере профессор криптографии в Университете Джонса Хопкинса Мэтью Грин.
