19.3 C
Athens
Thursday, March 28, 2024
More

    Τι πραγματικά σημαίνει το SSL bug που είχε το iOS 7 και πόσο σημαντικό είναι στο OS X

    AppleBug

    Χθες σας ενημερώσαμε πως η Apple έκανε διαθέσιμο στο κοινό το iOS 7.0.6  και γνωρίζαμε πως η βασική αιτία για αυτή την αναβάθμιση του λογισμικού ήταν ένα bug στις  SSL συνδέσεις, με πιο απλά λόγια ήταν ένα κενό ασφαλείας που η Apple ανακάλυψε.

    Αν και μας έκανε εντύπωση πως η Apple το ανακάλυψε σχετικά αργά δεν γνωρίζαμε πόσο σοβαρό ήτανε για την ασφάλεια τον χρηστών και δυστυχώς όπως αποδεικνύεται σήμερα ήταν ένα από τα μεγαλύτερα κενά ασφαλείας που έχει παρουσιάσει ποτέ λογισμικό της Apple.

    Στο συνοδευτικό κείμενο της αναβάθμισης αυτής η Apple αναφέρει πως ένας κακόβουλος χρήστης με πρόσβαση σε κομβικά σημεία ενός δικτύου μπορούσε εξαιτίας αυτού του κενού να καταχραστεί μια σειρά δεδομένων από τον χρήστη και μάλιστα δεδομένων που θεωρητικά ήταν ασφαλή μέσω SSL/TLS.  Με άλλα λόγια το iOS ήταν ευπαθής σε ‘man-in-the-middle attack.’ επιθέσεις.

    Για όσους δεν γνωρίζουν αυτές τις επιθέσεις, υπάρχουν εδώ και χρόνια, είναι αυτές κατά τις οποίες ένα κακόβουλο λογισμικό εμφανίζεται ως ένα ασφαλές web site και παρεμβαίνει στην επικοινωνία του χρήστη με το αυθεντικό έχοντας πρόσβαση σε δεδομένα ή έχοντας ακόμη και την δυνατότητα να εισάγει κάποιο malware. Αυτό σημαίνει πως ευαίσθητα δεδομένα όπως usernames, passwords αλλά ακόμη και τραπεζικά στοιχεία και τραπεζικές κάρτες μπορούν να παραβιαστούν.

    iOS 7.0.6

    Data Security

    Available for: iPhone 4 and later, iPod touch (5th generation), iPad 2 and later

    Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS

    Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

    CVE-ID

    CVE-2014-1266

     Δεν αποτελεί έκπληξη λοιπόν που ο γνωστός hacker pod2g από χθες φωνάζει πως όλοι πρέπει να κάνουν την εν λόγω αναβάθμιση και εύλογα αναρωτιέται πως η Apple άφησε να συμβεί κάτι τέτοιο.

    Yeah, the security of iOS < 7.0.6 is now so bad that I advice everyone to update quick.

    — pod2g (@pod2g) February 22, 2014

    One of the worst day for Apple. Today we know that HTTPS haven’t protected our credentials and privacy for 1 year, maybe more on OSX and iOS — pod2g (@pod2g) February 22, 2014

    People on public wifi networks (Sochi?), please just don’t use your iOS device if it’s not updated to iOS 7.0.6. Don’t use your Mac Book.
    — pod2g (@pod2g) February 22, 2014

    Τα άσχημα δεν σταματούν εκεί μιας και ακριβώς ότι αναφέραμε πιο πάνω ισχύουν και για το OS X Mavericks που έχει ακριβώς την ίδια ευπάθεια και μπορεί να δεχτεί ακριβώς τις ίδιες επιθέσεις.

    Η Apple αναφέρει πως γνωρίζει το πρόβλημα για το λογισμικό για τα Mac και πως εργάζεται πάνω στην διόρθωση του.

    Προσωπικά η συγκεκριμένη εξέλιξη με απογοητεύει μιας και η Apple εδώ και χρόνια περηφανεύεται για την ασφάλεια που προσφέρει στους χρήστες των συσκευών της. Μπορεί λοιπόν να μην κολλάνε ιούς και άλλα malwares από την μια αλλά από την άλλη μια εταιρεία σαν την Apple να παρουσιάζει λογισμικά με ευπάθεια σε SSL συνδέσεις είναι το λιγότερο ειρωνικό.

    Αναμένουμε το αντίστοιχο patch και για το OS X και ελπίζω η Apple να έμαθε και από αυτό το σφάλμα της.

    Σχολιασμός στο φόρουμ

    Dimitris Georgoulas
    Dimitris Georgoulas
    O Δημήτρης είναι συνιδιοκτήτης και αρθρογράφος του AppleWorldHellas. Κάτοχος διδακτορικού στα ασύρματα δίκτυα και την τεχνητή νοημοσύνη εργάζεται ως Project Manager στην εταιρεία ασφαλείας InnoSec και ως Marketing/Sales Director στην εταιρεία Nomikos Group of Companies. Αγαπημένη του συσκευή το iPhone 11 Pro Max του ενώ δεν αποχωρίζεται ποτέ πλέον το Retina MacBook Pro του. Μεγάλες του αδυναμίες η ψηφιακή φωτογραφία, και το σινεμά.

    Related Articles

    Stay Connected

    19,333FansLike
    3,913FollowersFollow
    21,600SubscribersSubscribe
    - Advertisement -spot_img

    Latest Articles