Vídeo: PIKOTARO - PPAP (Pen Pineapple Apple Pen) (Long Version) [Official Video] (Setembre 2024)
Apple va llançar tranquil·lament iOS 7.06 a la tarda de divendres a la tarda, solucionant un problema en la forma en què iOS 7 valida els certificats SSL. Els atacants poden explotar aquest problema per llançar un atac de mà al mig i un fons d'ull en tota l'activitat dels usuaris, van advertir els experts.
"Un atacant amb una posició de xarxa privilegiada pot capturar o modificar dades en sessions protegides per SSL / TLS", va dir Apple a la seva notificació.
Els usuaris haurien d’actualitzar-se immediatament.
Compte amb els criadors
Com és habitual, Apple no va proporcionar gaires dades sobre el problema, però els experts en seguretat familiars de la vulnerabilitat van advertir que els atacants de la mateixa xarxa com la víctima podrien llegir comunicacions segures. En aquest cas, l’atacant podria interceptar i, fins i tot, modificar els missatges a mesura que passen des del dispositiu iOS 7 de l’usuari a llocs segurs, com ara Gmail o Facebook, o fins i tot per a sessions de banca en línia. El problema és un "error fonamental en la implementació SSL d'Apple", va dir Dmitri Alperovich, CTO de CrowdStrike.
L’actualització de programari està disponible per a la versió actual d’iOS per a iPhone 4 i versions posteriors, iPod Touch de cinquena generació i iPad 2 i posteriors. iOS 7.06 i iOS 6.1.6. El mateix defecte existeix a la darrera versió de Mac OS X, però encara no ha estat pegat, Adam Langley, enginyer sènior de Google, va escriure al seu bloc ImperialViolet. Langley va confirmar que el defecte també es trobava a iOS 7.0.4 i OS X 10.9.1
La validació del certificat és fonamental per establir sessions segures, ja que és així com un lloc (o un dispositiu) verifica que la informació prové d’una font de confiança. En validar el certificat, el lloc web del banc sap que la sol·licitud prové de l’usuari i no és una sol·licitud perjudicada per part d’un atacant. El navegador de l’usuari també confia en el certificat per verificar que la resposta provenia dels servidors del banc i no d’un atacant que s’assegués al centre i interceptés comunicacions sensibles.
Actualització de dispositius
Sembla que Chrome i Firefox, que utilitzen NSS en lloc de SecureTransport, no estan afectats per la vulnerabilitat, encara que el sistema operatiu subjacent sigui vulnerable, va dir Langley. Va crear un lloc de prova a https://www.imperialviolet.org:1266. "Si podeu carregar un lloc HTTPS al port 1266, tens aquest error", va dir Langley
Els usuaris haurien d’actualitzar els seus dispositius Apple tan aviat com sigui possible i, quan estigui disponible l’actualització de OS X, també per aplicar aquest pegat. Les actualitzacions s’han d’aplicar mentre es troben en una xarxa de confiança i els usuaris haurien d’evitar realment accedir a llocs segurs mentre es troben en xarxes no fiables (sobretot wifi) mentre viatgen /
"En dispositius mòbils i portàtils no empaquetats, configureu l'opció 'Demana que s'uneixi a les xarxes' a OFF, cosa que evitarà que es mostrin indicacions per connectar-se a xarxes no fiables", va escriure Alex Radocea, investigador de CrowdStrike.
Tenint en compte les preocupacions recents sobre la possibilitat d’atropellar el govern, el fet que alguns iPhones i iPads no estiguessin validant correctament els certificats pot ser alarmant per a alguns. "No vaig a parlar de detalls sobre l'error d'Apple, excepte dir el següent. És seriosament explotable i encara no està sota control", va publicar a Twitter Matthew Green, professor de criptografia de la Universitat Johns Hopkins.
