Будинки Securitywatch Apple виправляє фундаментальну помилку ssl у ios 7

Apple виправляє фундаментальну помилку ssl у ios 7

Відео: macbook 2020 unboxing + accessories (asmr ig HAHA) (Листопад 2024)

Відео: macbook 2020 unboxing + accessories (asmr ig HAHA) (Листопад 2024)
Anonim

Apple спокійно випустила iOS 7.06 наприкінці в п’ятницю, виправляючи проблему в тому, як iOS 7 перевіряє SSL-сертифікати. Зловмисники можуть скористатися цим питанням, щоб запустити атаку між людьми та підслухувати всі дії користувачів, попередили експерти.

"Зловмисник з привілейованою мережевою позицією може захоплювати або змінювати дані на сесіях, захищених SSL / TLS", - заявила Apple у своїх рекомендаціях.

Користувачі повинні оновлюватись негайно.

Слідкуйте за підслуховувачами

Як завжди, Apple не надала багато інформації про цю проблему, але фахівці з безпеки, знайомі з уразливістю, попередили, що зловмисники в тій же мережі, що і жертва, зможуть читати захищені повідомлення. У цьому випадку зловмисник може перехоплювати та навіть змінювати повідомлення, переходячи з пристрою iOS 7 користувача на захищені сайти, такі як Gmail чи Facebook, або навіть для сеансів онлайн-банкінгу. Проблема - це "фундаментальна помилка у впровадженні SSL від Apple", - сказав Дмитро Альперович, CTO CrowdStrike.

Оновлення програмного забезпечення доступне для поточної версії iOS для iPhone 4 та новішої версії, iPod Touch 5-го покоління та iPad 2 та новішої версії. iOS 7.06 та iOS 6.1.6. Той самий недолік існує і в останній версії Mac OS X, але він ще не виправлений, написав у своєму блозі ImperialViolet старший інженер компанії Google Адам Ленглі. Ленглі підтвердив, що недолік був також в iOS 7.0.4 та OS X 10.9.1

Перевірка сертифікатів має вирішальне значення при встановленні безпечних сеансів, оскільки саме так сайт (або пристрій) перевіряє, що інформація надходить із надійного джерела. Підтверджуючи сертифікат, веб-сайт банку знає, що запит надходить від користувача, і це не підроблений запит зловмисника. Браузер користувача також покладається на сертифікат, щоб переконатися, що відповідь надійшла з серверів банку, а не від зловмисника, який сидів посередині і перехоплював чутливі комунікації.

Оновлення пристроїв

Схоже, Chrome і Firefox, який використовує NSS замість SecureTransport, не впливають на цю вразливість, навіть якщо основна ОС є вразливою, зазначив Ленглі. Він створив тестовий сайт за адресою https://www.imperialviolet.org:1266. "Якщо ви можете завантажити сайт HTTPS на порт 1266, у вас є ця помилка", - сказав Ленглі

Користувачі повинні оновити свої пристрої Apple якнайшвидше, а коли доступне оновлення OS X, застосувати і цей патч. Оновлення слід застосовувати під час користування надійною мережею, і користувачі дійсно повинні уникати доступу до захищених сайтів під час ненадійних мереж (особливо Wi-Fi) під час подорожі /

"На непакетованих мобільних та ноутбукових пристроях встановіть для параметра" Попроси приєднатися до мереж "значення ВИМКНЕНО, що не дозволить їм показувати підказки для підключення до ненадійних мереж", - написав Алекс Радоцея, дослідник компанії CrowdStrike.

Беручи до уваги останні стурбованості можливістю урядового прослуховування, факт, що iPhone та iPad неправильно підтверджують сертифікати, може викликати тривогу для деяких. "Я не збираюся розповідати подробиці про помилку в Apple, крім того, щоб сказати наступне. Це серйозно піддається експлуатації і ще не під контролем", - розмістив у Twitter Метью Грін, професор криптографії з університету Джона Хопкінса.

Apple виправляє фундаментальну помилку ssl у ios 7