Videó: Apple iPhone mini Unboxing + Gameplay (November 2024)
Az Apple csendesen kiadta az iOS 7.06 verziót késő péntek délután, ezzel megoldva egy problémát az iOS 7 SSL tanúsítványok érvényesítésében. A támadók kihasználhatják ezt a kérdést, hogy középtávú támadást indítsanak, és lehallgassák az összes felhasználói tevékenységet - figyelmeztette a szakértők.
"A kiváltságos hálózati pozícióval rendelkező támadó az SSL / TLS által védett munkamenetekben adatokat gyűjthet vagy módosíthat" - mondta az Apple tanácsában.
A felhasználóknak azonnal frissíteniük kell.
Vigyázz a lehallgatókra
A szokásos módon az Apple nem adott sok információt a kérdésről, ám a sebezhetőséget ismerő biztonsági szakértők figyelmeztették, hogy az áldozatokkal azonos hálózaton lévő támadók biztonságos kommunikációt tudnak olvasni. Ebben az esetben a támadó elhallgathatja és akár módosíthatja az üzeneteket, amikor a felhasználó iOS 7 eszközéről biztonságos webhelyekre, például Gmail vagy Facebook, vagy akár online banki munkamenetekre jutnak át. A kérdés egy "alapvető hiba az Apple SSL megvalósításában" - mondta Dmitri Alperovich, a CrowdStrike műszaki vezetője.
A szoftverfrissítés az iOS jelenlegi verziójára érhető el az iPhone 4 és újabb verziók, az 5. generációs iPod Touch, valamint az iPad 2 és újabb verziók számára. iOS 7.06 és iOS 6.1.6. Ugyanez a hiba van a Mac OS X legújabb verziójában, de még nem javítva - írta Adam Langley, a Google vezető mérnöke az ImperialViolet blogjában. Langley megerősítette, hogy a hiba az iOS 7.0.4-ben és az OS X 10.9.1-ben is található
A tanúsítvány érvényesítése kritikus jelentőségű a biztonságos munkamenetek létrehozásakor, mivel így ellenőrzi a webhely (vagy eszköz), hogy az információk megbízható forrásból származnak. A tanúsítvány érvényesítésével a bank webhelye tudja, hogy a kérelem a felhasználótól érkezik, és nem egy támadó hamisított kérelme. A felhasználó böngészője a tanúsítványra is támaszkodik annak ellenőrzésére, hogy a válasz a bank szerverein érkezett-e, nem pedig a középen ülő támadóktól, és érzékeny kommunikációt vett el.
Eszközök frissítése
Úgy tűnik, hogy a Chrome-ot és a Firefoxot, amely az NSS-t használja a SecureTransport helyett, nem érinti a biztonsági rés, még akkor sem, ha az alapul szolgáló operációs rendszer sebezhető - mondta Langley. Létrehozott egy teszthelyet a https://www.imperialviolet.org:1266 címen. "Ha HTTPS-helyet tölthet be az 1266-as portra, akkor megvan ez a hiba" - mondta Langley
A felhasználóknak a lehető leghamarabb frissíteniük kell Apple-eszközeiket, és ha elérhető az OS X frissítés, akkor is alkalmazniuk kell ezt a javítást. A frissítéseket megbízható hálózaton kell alkalmazni, és a felhasználóknak valóban el kell kerülniük a biztonságos webhelyek elérését megbízhatatlan hálózatokon (különösen a Wi-Fi) utazás közben /
"A nem páratlan mobil és laptop készülékeken állítsa az" Kérdezz, hogy csatlakozzon a hálózatokhoz "beállítást KI értékre, ez megakadályozza, hogy rájuk hívjanak a megbízhatatlan hálózatokhoz való csatlakozási utasításokat." - írta Alex Radocea, a CrowdStrike kutatója.
Figyelembe véve a közelmúltban felmerült aggodalmakat a kormány szinkronizálásának lehetőségeivel kapcsolatban, az a tény, hogy az iPhone és az iPads nem érvényesítette a tanúsítványokat, némelyiket aggasztó lehet. "Az Apple hibájáról nem fogok részletesebben beszélni, csak a következőket mondom. Ez komolyan kiaknázható és még nem ellenőrzés alatt áll" - írta Matthew Green, a Johns Hopkins Egyetem kriptográfiai professzora a Twitter-en.
