Apple, iOS 7.0.6'nın piyasaya sürülmesini Cuma günü şok edici bir şekilde gözden kaçan SSL için bir yama ile hızlandırdı iPhone, iPad ve Mac bilgisayar kullanıcılarını ortadaki adama (MITM) açık bırakan şifreleme sorunu saldırı.
Cuma günü elma büyük bir SSL (Güvenli Yuva Katmanı) güvenlik açığını ortaya çıkardı Tüm cihazları etkileyen yazılımında, bilgisayar korsanlarının sayısız Apple donanım kullanıcısı için e-posta ve oturum açma bilgileri gibi iletişimleri ele geçirmesine ve değiştirmesine olanak tanıyor.
Güvenlik açığını gidermek için Apple'ın iOS'unun tabletleri ve telefonları için yeni bir sürümü Cuma günü piyasaya sürüldü. mobil, tablet ve masaüstü yazılımı SSL/TLS ana bilgisayar adı denetimi yapmıyor; şifrelenmesi gereken iletişimler Olumsuz.
Oku bunu
Apple, güvenlik bağlantısı düzeltmesi içeren iOS 7.0.6'yı yayınladı
Şimdi OkuYama yalnızca daha yeni iPhone'lar (4 ve üstü), iPod touch (5. nesil) ve iPad (2. nesil) için yayınlandı.
Çeşitli topluluklardaki güvenlik araştırmacıları, Mac bilgisayarların şu anda herhangi bir yama olmadan askıda kalması nedeniyle daha da açıkta olduğuna inanıyor.
Ne yazık ki Apple, bu yamanın ne zaman bekleneceği veya hangi sürüme dair bir açıklama yayınlamadı iPhone, iPad, iPod touch veya Mac bilgisayar yelpazesi büyük ve biraz şok edici bir durumdan etkileniyor, kusur.
Güvenlik açığı, "güvenilir CA" tarafından imzalanmış bir sertifikaya sahip herkesin ortadaki adam (MITM) saldırısı yapmasına olanak tanır.
Ortadaki adam saldırısı, sizinle hedef alıcınız veya web siteniz arasındaki iletişimi (ve şifrelenmemiş parolalar gibi daha fazlasını) sorunsuz bir şekilde keser. OWASP, "saldırgan, ele geçirilen iletişimdeki verileri okuyabilme, ekleme ve değiştirme olanağına sahip bir proxy görevi görür."
Kötü niyetli bir varlık, kötü amaçlı yazılım yüklemek veya değerli verileri çalmak için güvenilir bir web sitesinin kimliğine bürünebilir; örneğin Eylül ayında Belçika'nın en büyük telekom sağlayıcısı Belgacom saldırıya uğradı ve istismar edildi sahte LinkedIn ve Slashdot sayfaları aracılığıyla.
TL; DR - Apple, HTTPS için ham OpenSSL kullandı ancak ana bilgisayar adı doğrulamasını içermedi. https://t.co/XTdipT8VyP
— Will Sargent (@will_sargent) 21 Şubat 2014
iOS 7.0.6 ve yeni iOS 6.1.6 güncellemesi "SSL bağlantı doğrulaması için bir düzeltme sağlar."
7.0.6 güncellemesi, iOS 7'yi çalıştırabilen tüm cihazlar için geçerlidir; iOS 6.1.6 güncellemesi ise iPhone 3GS ve dördüncü nesil iPod touch içindir.
iOS7.0.6
Veri güvenliğiŞunlarda kullanılabilir: iPhone 4 ve üzeri, iPod touch (5. nesil), iPad 2 ve üzeri
Etki: Ayrıcalıklı ağ konumuna sahip bir saldırgan, SSL/TLS tarafından korunan oturumlardaki verileri yakalayabilir veya değiştirebilir
Açıklama: Güvenli Aktarım, bağlantının orijinalliğini doğrulayamadı. Eksik doğrulama adımları geri yüklenerek bu sorun giderildi.
CVE-2014-1266 (iOS 7.0.6'nın güvenlik içeriği hakkında)
Bu çok ciddi bir sorundur ve Apple tablet ve telefon kullanıcılarından en kısa sürede güncelleme yapmaları istenmektedir.
Kusurun iOS nesillerinde ne kadar geriye gittiği bilinmiyor.
Yani başarısızlığa git Ekim 2013'ten önce eklendi. 10.9'dadır ancak 10.8.5'te değildir; ve iOS 6.1 ve iOS7'de...Ah. SSL'yi desteklememenin üzerinden uzun zaman geçti
— grugq (@thegrugq) 22 Şubat 2014
Orijinal iPhone, 3G, önceki iPod touch ve birinci nesil iPad gibi daha eski cihazlar, şifreleme deliğine dikkat etme konusunda büyük olasılıkla şanssız.
Aşağıdakileri söylemek dışında Apple hatasıyla ilgili ayrıntılardan bahsetmeyeceğim. Ciddi anlamda istismar edilebilir ve henüz kontrol altına alınamamıştır.
— Matthew Green (@matthew_d_green) 21 Şubat 2014
Bu güvenlik açığının, SSL üzerinden otomatik güncellemelerle birleştiğinde, bunun yollardan biri olabileceği yönünde spekülasyonlar var. NSA'nın "herhangi bir iOS cihazına" erişebileceği iddiası, sızdırılan Snowden-NSA belgelerinde Apple'ın şiddetle dile getirdiği bir iddiaydı. reddedildi.
Bugünkü program sizlere Apple, SecureTransport ve SSL harfleriyle sunuldu. Ah bekleyin, SSL harfleri aslında hiçbir şey yapmadı.
— Dino A. Dai Zovi (@dinodaizovi) 22 Şubat 2014
Güncelleme 2/22: Adam Langley'nin mükemmel, daha ileri analizleri var Apple'ın SSL/TLS hatası (22 Şubat 2014, Imperialviolet.org).
ZDNet yorum yapmak için Apple'a ulaştı ve yanıt vermesi halinde bu yazıyı güncelleyecek.