Video: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (Nobyembre 2024)
Tahimik na pinakawalan ng Apple ang iOS 7.06 noong Biyernes ng hapon, pag-aayos ng isang problema sa kung paano pinatunayan ng iOS 7 ang mga sertipiko ng SSL. Maaaring samantalahin ng mga umaatake ang isyung ito upang ilunsad ang isang man-in-the-middle attack at eavesdrop sa lahat ng aktibidad ng gumagamit, binalaan ng mga eksperto.
"Ang isang magsasalakay na may isang posisyon ng pribilehiyo sa network ay maaaring makunan o magbago ng data sa mga session na protektado ng SSL / TLS, " sinabi ng Apple sa payo nito.
Dapat na-update kaagad ang mga gumagamit.
Watch out para sa Eavesdroppers
Tulad ng dati, ang Apple ay hindi nagbibigay ng maraming impormasyon tungkol sa isyu, ngunit ang mga eksperto sa seguridad na pamilyar sa kahinaan ay nagbabala na ang mga umaatake sa parehong network tulad ng biktima ay makakabasa ng ligtas na mga komunikasyon. Sa kasong ito, ang mang-aatake ay maaaring makagambala, at magbago, ang mga mensahe habang ipinapasa nila mula sa aparato ng iOS 7 ng gumagamit upang mai-secure ang mga site, tulad ng Gmail o Facebook, o kahit na para sa mga sesyon sa online banking. Ang isyu ay isang "pangunahing bug sa pagpapatupad ng SSL ng Apple, " sabi ni Dmitri Alperovich, CTO ng CrowdStrike.
Ang pag-update ng software ay magagamit para sa kasalukuyang bersyon ng iOS para sa iPhone 4 at mas bago, 5th henerasyon iPod Touch, at iPad 2 at mas bago. iOS 7.06 at iOS 6.1.6. Ang parehong kapintasan ay umiiral sa pinakabagong bersyon ng Mac OS X ngunit hindi pa naka-patched, si Adam Langley, isang senior engineer sa Google, ay sumulat sa kanyang blog ng ImperialViolet. Kinumpirma ni Langley ang kapintasan din sa iOS 7.0.4 at OS X 10.9.1
Ang pagpapatunay ng sertipiko ay kritikal sa pagtatatag ng mga ligtas na sesyon, dahil dito kung paano pinatutunayan ng isang site (o isang aparato) na ang impormasyon ay nagmumula sa isang mapagkakatiwalaang mapagkukunan. Sa pamamagitan ng pagpapatunay ng sertipiko, alam ng website ng bangko na ang kahilingan ay nagmumula sa gumagamit, at hindi isang hiniling na kahilingan ng isang umaatake. Ang browser ng gumagamit ay umaasa din sa sertipiko upang mapatunayan ang tugon ay nagmula sa mga server ng bangko at hindi mula sa isang umaatake na nakaupo sa gitna at nakikialam ng mga sensitibong komunikasyon.
I-update ang Mga aparato
Lumilitaw ang Chrome at Firefox, na gumagamit ng NSS sa halip na SecureTransport, ay hindi apektado ng kahinaan kahit na mahina ang pinagbabatayan na OS, sinabi ni Langley. Lumikha siya ng isang site ng pagsubok sa https://www.imperialviolet.org:1266. "Kung maaari kang mag-load ng isang site ng HTTPS sa port 1266 pagkatapos mayroon kang bug na ito, " sabi ni Langley
Dapat i-update ng mga gumagamit ang kanilang mga aparatong Apple sa lalong madaling panahon, at kapag magagamit ang pag-update ng OS X, upang mailapat din ang patch na iyon. Ang mga pag-update ay dapat mailapat habang nasa isang mapagkakatiwalaang network, at dapat talagang iwasan ng mga gumagamit ang pag-access sa mga secure na site habang sa mga hindi pinagkakatiwalaang mga network (lalo na ang Wi-Fi) habang naglalakbay /
"Sa hindi ipinadala na mga aparatong mobile at laptop, itakda ang setting na 'Ask to Join Networks' sa OFF, na maiiwasan ang mga ito mula sa pagpapakita ng mga senyas na kumonekta sa mga hindi pinagkakatiwalaang mga network, " isinulat ni Alex Radocea, isang mananaliksik mula sa CrowdStrike.
Isinasaalang-alang ang kamakailang mga alalahanin tungkol sa posibilidad ng pag-agaw ng pamahalaan, ang katotohanan na ang mga iPhone at iPads ay hindi nagpapatunay ng mga sertipiko nang tama ay maaaring nakababahala para sa ilan. "Hindi ko sasabihin ang mga detalye tungkol sa bug ng Apple maliban upang sabihin ang sumusunod. Ito ay sineseryoso na mapagsamantalahan at hindi pa kontrolado, " si Matthew Green, isang propesor sa krograpiya sa Johns Hopkins University, na nai-post sa Twitter.
