Video: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (Novembre 2024)
Apple ha rilasciato tranquillamente iOS 7.06 venerdì pomeriggio, risolvendo un problema su come iOS 7 convalida i certificati SSL. Gli aggressori possono sfruttare questo problema per lanciare un attacco man-in-the-middle e intercettare tutte le attività degli utenti, avvertono gli esperti.
"Un utente malintenzionato con una posizione di rete privilegiata può acquisire o modificare i dati nelle sessioni protette da SSL / TLS", ha affermato Apple nel suo advisory.
Gli utenti dovrebbero aggiornare immediatamente.
Fai attenzione agli auricolari
Come al solito, Apple non ha fornito molte informazioni sul problema, ma gli esperti di sicurezza che hanno familiarità con la vulnerabilità hanno avvertito che gli aggressori sulla stessa rete della vittima sarebbero in grado di leggere comunicazioni sicure. In questo caso, l'utente malintenzionato potrebbe intercettare e persino modificare i messaggi mentre passano dal dispositivo iOS 7 dell'utente a siti protetti, come Gmail o Facebook, o anche per sessioni bancarie online. Il problema è un "bug fondamentale nell'implementazione SSL di Apple", ha affermato Dmitri Alperovich, CTO di CrowdStrike.
L'aggiornamento software è disponibile per la versione corrente di iOS per iPhone 4 e versioni successive, iPod Touch di quinta generazione e iPad 2 e versioni successive. iOS 7.06 e iOS 6.1.6. Lo stesso difetto esiste nell'ultima versione di Mac OS X ma non è stato ancora corretto, Adam Langley, un ingegnere senior di Google, ha scritto sul suo blog ImperialViolet. Langley ha confermato che il difetto era anche in iOS 7.0.4 e OS X 10.9.1
La convalida del certificato è fondamentale per stabilire sessioni sicure, in questo modo un sito (o un dispositivo) verifica che le informazioni provengano da una fonte attendibile. Convalidando il certificato, il sito Web della banca sa che la richiesta proviene dall'utente e non è una richiesta falsificata da parte di un utente malintenzionato. Il browser dell'utente fa inoltre affidamento sul certificato per verificare che la risposta provenga dai server della banca e non da un utente malintenzionato seduto al centro e che intercetta comunicazioni sensibili.
Aggiorna dispositivi
Sembra che Chrome e Firefox, che utilizza NSS anziché SecureTransport, non siano interessati dalla vulnerabilità anche se il sistema operativo sottostante è vulnerabile, ha affermato Langley. Ha creato un sito di prova all'indirizzo https://www.imperialviolet.org:1266. "Se riesci a caricare un sito HTTPS sulla porta 1266, hai questo errore", ha detto Langley
Gli utenti dovrebbero aggiornare i loro dispositivi Apple il prima possibile e, quando è disponibile l'aggiornamento OS X, per applicare anche quella patch. Gli aggiornamenti dovrebbero essere applicati su una rete affidabile e gli utenti dovrebbero davvero evitare di accedere a siti sicuri su reti non attendibili (in particolare Wi-Fi) durante i viaggi /
"Sui dispositivi mobili e portatili senza patch, imposta l'impostazione" Chiedi di unirti alle reti "su OFF, che impedirà loro di mostrare le richieste di connessione a reti non attendibili", ha scritto Alex Radocea, ricercatore di CrowdStrike.
Considerando le recenti preoccupazioni sulla possibilità di ficcanaso del governo, il fatto che iPhone e iPad non stessero validando correttamente i certificati può essere allarmante per alcuni. "Non parlerò in dettaglio del bug Apple se non per dire quanto segue. È seriamente sfruttabile e non ancora sotto controllo", ha pubblicato su Twitter Matthew Green, professore di crittografia alla Johns Hopkins University.