וִידֵאוֹ: Apple's iOS 7 - полный обзор! (נוֹבֶמבֶּר 2024)
אפל שיחררה בשקט את iOS 7.06 בשעות אחר הצהריים של יום שישי האחרון, ופתרה בעיה באיך iOS 7 מאמת תעודות SSL. התוקפים יכולים לנצל סוגיה זו בכדי לפתוח במתקפה של אדם באמצע ולהאזין לכל פעילות המשתמשים, הזהירו מומחים.
אפל הודיעה כי "תוקף עם עמדת רשת מיוחסת עשוי ללכוד או לשנות נתונים בפגישות המוגנות על ידי SSL / TLS".
על המשתמשים לעדכן באופן מיידי.
היזהרו ממגזינים
כרגיל, אפל לא סיפקה הרבה מידע על הנושא, אך מומחי אבטחה המכירים את הפגיעות הזהירו כי התוקפים באותה רשת בה הקורבן יוכלו לקרוא תקשורת מאובטחת. במקרה זה, התוקף יכול היה ליירט, ואף לשנות, את ההודעות כשהן עוברות ממכשיר ה- iOS 7 של המשתמש לאתרים מאובטחים, כמו Gmail או פייסבוק, או אפילו להפעלות בנקאיות מקוונות. הבעיה היא "באג בסיסי ביישום ה- SSL של אפל", אמר דמיטרי אלפרוביץ ', סמנכ"ל הכספים של CrowdStrike.
עדכון התוכנה זמין לגירסה הנוכחית של iOS עבור iPhone 4 ואילך, iPod Touch מהדור החמישי, ו- iPad 2 ואילך. iOS 7.06 ו- iOS 6.1.6. אותו פגם קיים בגירסה האחרונה של Mac OS X אך טרם טופח, כתב אדם לנגלי, מהנדס בכיר בגוגל, בבלוג ImperialViolet שלו. לנגלי אישר שהפגמים היו גם ב- iOS 7.0.4 וב- OS X 10.9.1
אימות אישורים הוא קריטי בביסוס הפעלות מאובטחות, מכיוון שכך אתר (או מכשיר) מאמת שהמידע מגיע ממקור מהימן. על ידי אימות האישור, אתר הבנק יודע שהבקשה מגיעה מהמשתמש ואינה בקשה מזויפת על ידי תוקף. הדפדפן של המשתמש מסתמך גם על האישור כדי לוודא שהתגובה הגיעה משרתי הבנק ולא מתוקף שישב באמצע ומיירט תקשורת רגישה.
עדכן מכשירים
נראה כי Chrome ו- Firefox שמשתמשים ב- NSS במקום SecureTransport אינם מושפעים מהפגיעות, גם אם מערכת ההפעלה הבסיסית חשופה, אמר לאנגלי. הוא יצר אתר מבחן בכתובת https://www.imperialviolet.org:1266. "אם אתה יכול לטעון אתר HTTPS בנמל 1266 אז יש לך את הבאג הזה, " אמר לנגלי
על המשתמשים לעדכן את מכשירי Apple שלהם בהקדם האפשרי, וכאשר עדכון OS X זמין, להחיל גם את התיקון הזה. יש להחיל את העדכונים במהלך רשת מהימנה, ומשתמשים צריכים באמת להימנע מגישה לאתרים מאובטחים בזמן שהם נמצאים ברשתות לא מהימנות (במיוחד Wi-Fi) בעת נסיעה /
אלכס רדוצ'אה, חוקר מ- CrowdStrike, כתב על אלכס רדוסאה, "במכשירים ניידים וניידים שלא הוענקו בעבר, הגדר את 'בקש להצטרף לרשתות' למצב כבוי, שימנע מהם להציג הנחיות להתחברות לרשתות לא מהימנות.
בהתחשב בחששות האחרונים מהאפשרות של חטטנות ממשלתיות, העובדה שאייפונים ואייפד לא אימתו אישורים כראוי יכולה להיות מדאיגה עבור חלק. מתיו גרין, פרופסור לקריפטוגרפיה מאוניברסיטת ג'ונס הופקינס, פרסם בטוויטר: "אני לא מתכוון לדבר על פרטים על באג אפל אלא לומר את הדברים הבאים. הוא ניתן לניצול ברצינות ועדיין לא בשליטה.