22.02.2014 | 06:51

Adam Haertle

Bardzo poważny błąd w urządzeniach Apple – aktualizujcie natychmiast

Apple kilka godzin temu ogłosiło aktualizację oprogramowania, która usuwa błąd umożliwiający praktycznie we wszystkich urządzeniach podsłuchiwanie i modyfikowanie treści połączeń SSL. Jak długo błąd istniał? Na czym polegał?

Połączenia SSL to praktycznie fundament bezpieczeństwa użytkowników sieci. Weryfikacja certyfikatów, którymi przedstawiają się na przykład serwery www, umożliwia zapewnienie, że urządzenie rozmawia z serwerem, z którym kazaliśmy mu się połączyć i przy prawidłowej konfiguracji nikt nie powinien móc podsłuchać przesyłanych treści. Dzięki temu możemy bezpiecznie korzystać nie tylko z poczty czy Facebooka, ale przede wszystkich chociażby z usług bankowości elektronicznej. Apple twierdzi, że te zabezpieczenia były do tej pory możliwe do pokonania w jego urządzeniach.

Aktualizacja 08:25

Wg specjalistów z firmy Crowdstrike, którzy przeanalizowali kod poprawki, błąd dotyczy nie tylko iOS, ale również systemu OS X, na który jeszcze nie wypuszczono łaty. Problem ma znajdować się na wczesnym etapie negocjacji połączenia, umożliwiając atakującemu ominięcie weryfikacji certyfikatów SSL.

Aktualizacja 16:00

W sieci pojawiły się szczegóły błędu. W skrócie – zdublowana instrukcja „goto fail;”. Ta jedna nadmiarowa linijka powodowała, że jeden z etapów weryfikacji certyfikatu serwera zawsze się udawał. Błąd tkwił w kodzie źródłowym prawie od pół roku. Czy to przypadek? Szczegóły znajdziecie tutajtutaj i tutaj.

Ogłoszenie w piątek po południu

W piątek po południu amerykańskiego czasu Apple ogłosiło wydanie aktualizacji oprogramowania, którego treść zjeżyła włosy na karkach ekspertów do spraw bezpieczeństwa sieci. Trudno uwierzyć własnym oczom czytając opis błędu.

Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS

Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

Oznacza to, że w praktyce każdy użytkownik z dostępem do ruchu sieciowego użytkowników produktów Apple mógł podsłuchiwać i modyfikować ich zaszyfrowany ruch sieciowy. Przyczyną jest brak walidacji na jednym lub wielu etapach procesu weryfikacji połączenia. Na czym jednak polegał błąd, który otrzymał nr CVE-2014-1266? Od jak dawna był obecny w produktach Apple? Czy ktoś wykorzystywał go w praktyce? Nie jest łatwo znaleźć odpowiedzi na te pytania.

Dużo pytań, mało odpowiedzi

Eksperci, którzy komentują komunikat Apple, są zgodni – to jeden z najpoważniejszych błędów, jaki mógł zostać odkryty. Ci, którzy znają szczegóły problemu, są również zgodni – nie chcą o tym rozmawiać i proszą każdego o jak najszybszą aktualizację.

Tweet z informacją

Tweet z informacją

Tweet z informacją

Tweet z informacją

Niestety wygląda na to, że informacja o szczegółach błędu została objęta kompletnym embargo, by dać użytkownikom czas na aktualizację oprogramowania. Nie traćcie go zatem, tylko aktualizujcie od razu.

Co ciekawe, w roku 2011 odkryto, ze system iOS nie weryfikuje łańcucha certyfikatów, dzięki czemu możliwe było podszycie się pod dowolny serwer. Wtedy Apple poprawiło błąd w ciągu dwóch tygodni. Tym razem w komunikacie mowa o tym, ze błąd może wykorzystać „atakujący o uprzywilejowanej pozycji w sieci”. Niestety w praktyce oznacza to na przykład pracownika Starbucksa… albo NSA (pamiętacie, że NSA może zaatakować skutecznie każde urządzenie Apple?). Czekamy teraz albo na pełen komunikat Apple, albo na kogoś, kto przeanalizuje treść plików aktualizacji oprogramowania.

Powrót

Komentarze

  • 2014.02.22 09:36 marsjaninzmarsa

    Czemu osadzacie screeny Twittów, zamiast po prostu osadzić je na stronie? W WordPressie wystarczy wkleić link do statusu w nowym wierszu (podobnie jest w przypadku Youtube, Vimeo i wielu innych serwisów).

    A co do samego błędu… ciut przerażające. Już podesłałem paru znajomym apple’owcom linka (bo mnie osobiście on akurat nie dotyczy)…

    Odpowiedz
    • 2014.02.22 10:36 Guest

      Screeny na własnym serwerze są trwałe, Tweety potrafią znikać. :)

      Odpowiedz
  • 2014.02.22 10:51 Paweł

    Nie widzę nic złego w osadzaniu zdjęć tweetów. Z NoScriptem i dodatkiem Twitter Disconnect, który blokuje ruch z twittera, strona działa znakomicie. Nie zmieniajcie nic dla bardziej ostrożnych użytkowników.

    Odpowiedz
  • 2014.02.22 12:00 Adas

    Ta podatność istnieje od lat a mimo to nikt jej nie wykorzystał :-) wniosek: nawet jak jest dziurawy ich syfiasty system to żaden porządny haker nie zaatakuje tego systemu dla iDiotów gimbusów :-) bo jakie tam moga byc cenne dane – słitfocie…

    Odpowiedz
    • 2014.02.22 22:21 Gość

      Tak, a te lata to 6mc…

      Odpowiedz
  • 2014.02.22 13:50 derno

    Mnie przeraża reakcja na myapple.pl
    Barany cieszą się że dostali aktualizację zamiast myśleć o konsekwencjach.

    Odpowiedz
  • 2014.02.22 14:04 sekurak

    Ciekawe czy update OS bazuje na HTTPS… :-p

    Odpowiedz
    • 2014.02.22 22:22 Gość

      Tak, ale ma też podpisy więc co najwyżej można komuś uniemożliwić pobranie update podrzucając fałszywy ale nie podrzucić coś.

      Odpowiedz
      • 2014.02.25 17:37 sekurak

        Sure, to bardziej w formie żartu ;-)

        Odpowiedz
    • 2014.02.22 17:57 Adam

      Dzięki, piękne! goto fail!

      Odpowiedz
  • 2014.02.24 00:52 yy

    aktualizujcie, aktualizujcie..
    nie uzywam badziewia z logiem ogryzka z powodow ideologicznych ;D

    Odpowiedz
  • 2014.02.24 10:44 Zz

    @Yy A jakiego innego badziewia uzywasz i w czym jest lepsze od tego z jablkiem?

    Odpowiedz

Zostaw odpowiedź do Guest

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Bardzo poważny błąd w urządzeniach Apple – aktualizujcie natychmiast

Komentarze