Вчерашнее обновление iOS 7.0.6 исправило проблему с проверкой SSL-соединений, которая оказалась серьезным нарушением безопасности операционной системы. В документе поддержки Apple отметила, что исправление устранило конкретную уязвимость, которая могла позволить злоумышленнику с «привилегированной сетевой позицией» перехватить или изменить данные, защищенные SSL/TLS.
Иными словами, iOS была уязвима для атаки «человек посередине», когда злоумышленник мог выдать себя за доверенный веб-сайт для перехвата сообщений, получая конфиденциальную информацию, такую как учетные данные и пароли, или внедряя вредоносное программное обеспечение.
По данным компании по кибербезопасности CrowdStrike, OS X также может быть уязвима, поскольку она демонстрирует тот же недостаток в аутентификации. Пользователи OS X подвергаются риску атаки в любой общей проводной или беспроводной сети, поскольку процедуры проверки SSL/TLS могут быть обойдены.
Для осуществления атаки противнику необходимо иметь возможность осуществлять сетевые соединения типа «человек посередине» (Man-in-The-Middle, MitM), что возможно, если он находится в той же проводной или беспроводной сети, что и жертва. Из-за ошибки в логике аутентификации на платформах iOS и OS X злоумышленник может обойти процедуры проверки SSL/TLS при первоначальном рукопожатии соединения.
Это позволяет злоумышленнику выдать себя за доверенный удаленный узел, такой как ваш любимый веб-почтовый провайдер, и полностью перехватывать зашифрованный трафик между вами и целевым сервером, а также дает ему возможность изменять данные в процессе передачи (например, доставлять эксплойты для получения контроля над вашей системой).
Ошибка, которая была подробно описана инженером-программистом Google Адамом Лэнгли, могла появиться в OS X 10.9. По словам пользователей Hacker News, остается неясным, устранена ли проблема в последней версии программного обеспечения, OS X 10.9.2, которая в настоящее время доступна только для разработчиков. Пользователи могут проверить, затронуты ли их компьютеры уязвимостью, посетив gotofail.com в Safari.
Вероятно, Apple планирует выпустить исправление для OS X в ближайшем будущем для устранения уязвимости, но тем временем CrowdStrike рекомендует избегать недоверенных сетей Wi-Fi во время поездок. Сайт также рекомендует немедленно обновить iOS 7.0.6 для пользователей, которые еще не установили последнюю версию операционной системы на свои устройства iOS.
Обновление: Apple сообщила Reuters, что осведомлена о проблеме и имеет программное исправление, которое будет выпущено «очень скоро».
