Χθες σας ενημερώσαμε πως η Apple έκανε διαθέσιμο στο κοινό το iOS 7.0.6 και γνωρίζαμε πως η βασική αιτία για αυτή την αναβάθμιση του λογισμικού ήταν ένα bug στις SSL συνδέσεις, με πιο απλά λόγια ήταν ένα κενό ασφαλείας που η Apple ανακάλυψε.
Αν και μας έκανε εντύπωση πως η Apple το ανακάλυψε σχετικά αργά δεν γνωρίζαμε πόσο σοβαρό ήτανε για την ασφάλεια τον χρηστών και δυστυχώς όπως αποδεικνύεται σήμερα ήταν ένα από τα μεγαλύτερα κενά ασφαλείας που έχει παρουσιάσει ποτέ λογισμικό της Apple.
Στο συνοδευτικό κείμενο της αναβάθμισης αυτής η Apple αναφέρει πως ένας κακόβουλος χρήστης με πρόσβαση σε κομβικά σημεία ενός δικτύου μπορούσε εξαιτίας αυτού του κενού να καταχραστεί μια σειρά δεδομένων από τον χρήστη και μάλιστα δεδομένων που θεωρητικά ήταν ασφαλή μέσω SSL/TLS. Με άλλα λόγια το iOS ήταν ευπαθής σε ‘man-in-the-middle attack.’
επιθέσεις.
Για όσους δεν γνωρίζουν αυτές τις επιθέσεις, υπάρχουν εδώ και χρόνια, είναι αυτές κατά τις οποίες ένα κακόβουλο λογισμικό εμφανίζεται ως ένα ασφαλές web site και παρεμβαίνει στην επικοινωνία του χρήστη με το αυθεντικό έχοντας πρόσβαση σε δεδομένα ή έχοντας ακόμη και την δυνατότητα να εισάγει κάποιο malware. Αυτό σημαίνει πως ευαίσθητα δεδομένα όπως usernames, passwords αλλά ακόμη και τραπεζικά στοιχεία και τραπεζικές κάρτες μπορούν να παραβιαστούν.
iOS 7.0.6
Data Security
Available for: iPhone 4 and later, iPod touch (5th generation), iPad 2 and later
Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS
Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
CVE-ID
CVE-2014-1266
Δεν αποτελεί έκπληξη λοιπόν που ο γνωστός hacker pod2g από χθες φωνάζει πως όλοι πρέπει να κάνουν την εν λόγω αναβάθμιση και εύλογα αναρωτιέται πως η Apple άφησε να συμβεί κάτι τέτοιο.
Yeah, the security of iOS < 7.0.6 is now so bad that I advice everyone to update quick.
— pod2g (@pod2g) February 22, 2014
One of the worst day for Apple. Today we know that HTTPS haven’t protected our credentials and privacy for 1 year, maybe more on OSX and iOS — pod2g (@pod2g) February 22, 2014
People on public wifi networks (Sochi?), please just don’t use your iOS device if it’s not updated to iOS 7.0.6. Don’t use your Mac Book.
— pod2g (@pod2g) February 22, 2014
Τα άσχημα δεν σταματούν εκεί μιας και ακριβώς ότι αναφέραμε πιο πάνω ισχύουν και για το OS X Mavericks που έχει ακριβώς την ίδια ευπάθεια και μπορεί να δεχτεί ακριβώς τις ίδιες επιθέσεις.
Η Apple αναφέρει πως γνωρίζει το πρόβλημα για το λογισμικό για τα Mac και πως εργάζεται πάνω στην διόρθωση του.
Προσωπικά η συγκεκριμένη εξέλιξη με απογοητεύει μιας και η Apple εδώ και χρόνια περηφανεύεται για την ασφάλεια που προσφέρει στους χρήστες των συσκευών της. Μπορεί λοιπόν να μην κολλάνε ιούς και άλλα malwares από την μια αλλά από την άλλη μια εταιρεία σαν την Apple να παρουσιάζει λογισμικά με ευπάθεια σε SSL συνδέσεις είναι το λιγότερο ειρωνικό.
Αναμένουμε το αντίστοιχο patch και για το OS X και ελπίζω η Apple να έμαθε και από αυτό το σφάλμα της.
