Huis Securitywatch Apple lost fundamentele ssl-bug op in iOS 7

Apple lost fundamentele ssl-bug op in iOS 7

Video: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (December 2024)

Video: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (December 2024)
Anonim

Apple heeft vrijdag vrijdagmiddag stilletjes iOS 7.06 uitgebracht, waarmee een probleem werd opgelost in hoe iOS 7 SSL-certificaten valideert. Aanvallers kunnen dit probleem misbruiken om een ​​man-in-the-middle-aanval uit te voeren en alle gebruikersactiviteit af te luisteren, waarschuwden experts.

"Een aanvaller met een bevoorrechte netwerkpositie kan gegevens vastleggen of wijzigen in sessies die worden beschermd door SSL / TLS, " zei Apple in zijn advies.

Gebruikers moeten onmiddellijk updaten.

Kijk uit voor afluisteraars

Zoals gewoonlijk gaf Apple niet veel informatie over het probleem, maar beveiligingsexperts bekend met het beveiligingslek waarschuwden dat aanvallers op hetzelfde netwerk als het slachtoffer beveiligde communicatie zouden kunnen lezen. In dit geval kan de aanvaller de berichten onderscheppen en zelfs wijzigen wanneer deze van het iOS 7-apparaat van de gebruiker naar beveiligde sites gaan, zoals Gmail of Facebook, of zelfs voor online bankensessies. Het probleem is een "fundamentele fout in de SSL-implementatie van Apple", zegt Dmitri Alperovich, CTO van CrowdStrike.

De software-update is beschikbaar voor de huidige versie van iOS voor iPhone 4 en hoger, de 5e generatie iPod Touch en iPad 2 en hoger. iOS 7.06 en iOS 6.1.6. Dezelfde fout bestaat in de nieuwste versie van Mac OS X maar is nog niet gepatcht, schreef Adam Langley, een senior engineer bij Google, op zijn ImperialViolet-blog. Langley bevestigde dat de fout ook in iOS 7.0.4 en OS X 10.9.1 zat

Certificaatvalidatie is van cruciaal belang bij het opzetten van veilige sessies, omdat dit is hoe een site (of een apparaat) verifieert dat de informatie afkomstig is van een vertrouwde bron. Door het certificaat te valideren, weet de bankwebsite dat het verzoek van de gebruiker komt en geen vervalst verzoek van een aanvaller is. De browser van de gebruiker vertrouwt ook op het certificaat om te controleren of de reactie van de servers van de bank kwam en niet van een aanvaller die in het midden zat en gevoelige communicatie onderschepte.

Apparaten bijwerken

Het lijkt erop dat Chrome en Firefox, die NSS gebruiken in plaats van SecureTransport, niet door het beveiligingslek worden getroffen, zelfs als het onderliggende besturingssysteem kwetsbaar is, zei Langley. Hij creëerde een testsite op https://www.imperialviolet.org:1266. "Als je een HTTPS-site op poort 1266 kunt laden, heb je deze bug, " zei Langley

Gebruikers moeten hun Apple-apparaten zo snel mogelijk bijwerken, en wanneer de OS X-update beschikbaar is, om die patch ook toe te passen. De updates moeten worden toegepast terwijl ze zich op een vertrouwd netwerk bevinden, en gebruikers moeten echt voorkomen dat ze toegang krijgen tot beveiligde sites terwijl ze zich op niet-vertrouwde netwerken (vooral wifi) bevinden terwijl ze reizen /

"Op niet-gepaarde mobiele en laptop-apparaten, zet 'Ask to Join Networks' op OFF, waardoor ze geen prompts kunnen tonen om verbinding te maken met niet-vertrouwde netwerken, " schreef Alex Radocea, een onderzoeker van CrowdStrike.

Gezien de recente zorgen over de mogelijkheid dat de overheid snuffelt, kan het feit dat iPhones en iPads certificaten niet correct valideren voor sommigen alarmerend zijn. "Ik ga niet in op details over de Apple-bug, behalve om het volgende te zeggen. Het is serieus exploiteerbaar en nog niet onder controle", Matthew Green, een cryptografieprofessor aan de Johns Hopkins University, gepost op Twitter.

Apple lost fundamentele ssl-bug op in iOS 7