Video: iOS 15 Device Support List (Listopad 2024)
Společnost Apple v pátek odpoledne tiše vydala iOS 7.06, což opravuje problém v tom, jak iOS 7 ověřuje certifikáty SSL. Útočníci mohou tento problém využít k zahájení útoku typu „člověk uprostřed“ a odposlouchávat veškerou aktivitu uživatelů, varovali odborníci.
"Útočník s privilegovanou pozicí v síti může zachytit nebo upravit data v relacích chráněných SSL / TLS, " uvedl Apple ve svém doporučení.
Uživatelé by se měli okamžitě aktualizovat.
Dejte si pozor na Eavesdroppers
Jako obvykle, Apple neposkytl mnoho informací o problému, ale bezpečnostní experti obeznámení se zranitelností varovali, že útočníci ve stejné síti jako oběť budou moci číst bezpečnou komunikaci. V takovém případě by útočník mohl zachytit a dokonce upravit zprávy, které přecházejí ze zařízení iOS 7 uživatele na zabezpečené weby, jako je Gmail nebo Facebook, nebo dokonce pro relace online bankovnictví. Jedná se o „zásadní chybu v implementaci SSL společnosti Apple“, řekl Dmitri Alperovich, CTO společnosti CrowdStrike.
Aktualizace softwaru je k dispozici pro aktuální verzi iOS pro iPhone 4 a novější, iPod Touch 5. generace a iPad 2 a novější. iOS 7.06 a iOS 6.1.6. Stejná chyba existuje v nejnovější verzi Mac OS X, ale dosud nebyla opravena, na svém blogu ImperialViolet napsal Adam Langley, vedoucí technik společnosti Google. Langley potvrdil, že chyba byla také v iOS 7.0.4 a OS X 10.9.1
Ověření certifikátu je rozhodující při vytváření zabezpečených relací, protože tak web (nebo zařízení) ověřuje, že informace přicházejí z důvěryhodného zdroje. Ověřením certifikátu web banky ví, že žádost přichází od uživatele a nejedná se o podvodný požadavek útočníka. Prohlížeč uživatele se také spoléhá na certifikát, aby ověřil, že odpověď přicházela ze serverů banky, a nikoli od útočníka sedícího uprostřed a zachycujícího citlivou komunikaci.
Aktualizujte zařízení
Zdá se, že Chrome a Firefox, který používá NSS místo SecureTransport, nejsou touto chybou zabezpečení ohroženi, i když je zranitelný základní operační systém, řekl Langley. Vytvořil testovací web na adrese https://www.imperialviolet.org:1266. „Pokud můžete načíst web HTTPS na portu 1266, máte tuto chybu, “ řekl Langley
Uživatelé by měli aktualizovat svá zařízení Apple co nejdříve, a jakmile je k dispozici aktualizace OS X, aby tuto opravu také použili. Aktualizace by se měly používat v důvěryhodné síti a uživatelé by se během cestování / nedůvěryhodných sítí (zejména Wi-Fi) měli opravdu vyhnout přístupu na zabezpečené weby /
„Na neodesílaných mobilních a přenosných zařízeních nastavte možnost„ Zeptejte se připojit k sítím “na VYP, což jim zabrání zobrazovat výzvy k připojení k nedůvěryhodným sítím, “ napsal Alex Radocea, výzkumník z CrowdStrike.
Vzhledem k nedávným obavám z možnosti vládního snoopingu může být pro některé alarmující skutečnost, že telefony iPhone a iPad certifikáty neověřovaly správně. „Nebudu mluvit o podrobnostech o chybě Apple, s výjimkou následujících. Je to vážně využitelné a ještě pod kontrolou, “ Matthew Green, profesor kryptografie na Johns Hopkins University, zveřejněný na Twitteru.
