Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (Oktober 2024)
Apple frigav stille stille iOS 7.06 sent fredag eftermiddag og fik et problem i, hvordan iOS 7 validerer SSL-certifikater. Angribere kan udnytte dette problem for at iværksætte et mand-i-midten-angreb og aflytning af al brugeraktivitet, advarede eksperter.
"En angriber med en privilegeret netværksposition kan fange eller ændre data i sessioner, der er beskyttet af SSL / TLS, " sagde Apple i sin rådgivende.
Brugere skal opdatere øjeblikkeligt.
Pas på Eavesdroppers
Som sædvanligt leverede Apple ikke meget information om problemet, men sikkerhedseksperter, der kender sårbarheden, advarede om, at angribere på det samme netværk som offeret ville være i stand til at læse sikker kommunikation. I dette tilfælde kunne angriberen opsnappe og endda ændre meddelelserne, når de passerer fra brugerens iOS 7-enhed til sikrede websteder, såsom Gmail eller Facebook, eller endda til online banksessioner. Problemet er en "grundlæggende fejl i Apples SSL-implementering", sagde Dmitri Alperovich, CTO for CrowdStrike.
Softwareopdateringen er tilgængelig til den aktuelle version af iOS til iPhone 4 og nyere, 5. generation iPod Touch og iPad 2 og nyere. iOS 7.06 og iOS 6.1.6. Den samme fejl findes i den nyeste version af Mac OS X, men er endnu ikke blevet opdateret, skrev Adam Langley, senioringeniør hos Google, på sin ImperialViolet-blog. Langley bekræftede, at fejlen også var i iOS 7.0.4 og OS X 10.9.1
Certifikatvalidering er kritisk for etablering af sikre sessioner, da det er sådan, at et websted (eller en enhed) verificerer, at informationen kommer fra en betroet kilde. Ved at validere certifikatet ved bankwebstedet, at anmodningen kommer fra brugeren og ikke er en forfalsket anmodning fra en angriber. Brugerens browser er også afhængig af certifikatet for at bekræfte, at svaret kom fra bankens servere og ikke fra en angriber, der sad i midten og opsamler følsom kommunikation.
Opdater enheder
Det ser ud til, at Chrome og Firefox, der bruger NSS i stedet for SecureTransport, ikke påvirkes af sårbarheden, selvom det underliggende operativsystem er sårbart, sagde Langley. Han oprettede et teststed på https://www.imperialviolet.org:1266. "Hvis du kan indlæse et HTTPS-sted i port 1266, har du denne fejl, " sagde Langley
Brugere bør opdatere deres Apple-enheder så hurtigt som muligt, og når OS X-opdateringen er tilgængelig, også til at anvende denne patch. Opdateringerne skal anvendes, mens de er på et betroet netværk, og brugere bør virkelig undgå at få adgang til sikre websteder, mens de er på ikke-betroede netværk (især Wi-Fi), mens de rejser /
"På ikke-udsendte mobile og bærbare enheder skal du indstille indstillingen 'Spørg om at blive medlem af netværk' til FRA, hvilket forhindrer dem i at vise anmodninger om at oprette forbindelse til ikke-tillidelige netværk, " skrev Alex Radocea, en forsker fra CrowdStrike.
I betragtning af nylige bekymringer over muligheden for at snyde regeringen kan det, at iPhones og iPads ikke validerede certifikater korrekt, være alarmerende for nogle. "Jeg vil ikke tale detaljer om Apple-buggen, undtagen at sige følgende. Den er alvorligt udnyttelig og endnu ikke under kontrol, " postede Matthew Green, en kryptografiprofessor ved Johns Hopkins University, på Twitter.
