Apple saugumo spraga programišiams leidžia įveikti šifravimą (0)
Svarbi spraga Apple Inc mobiliesiems įrenginiams skirtoje programinėje įrangoje leidžia programišiams perimti elektroninius laiškus ir kitą komunikaciją, kuri turėtų būti užšifruota, pareiškė kompanija penktadienį, o ekspertai sako, kad Mac kompiuteriai dar labiau pažeidžiami.
Prisijunk prie technologijos.lt komandos!
Laisvas grafikas, uždarbis, daug įdomių veiklų. Patirtis nebūtina, reikia tik entuziazmo.
Sudomino? Užpildyk šią anketą!
Jei užpuolikai gali prisijungti prie mobiliojo naudotojo tinklo, pavyzdžiui, naudodamasis tuo pačiu neapsaugotu bevieliu tinklu restorane, jie gali matyti arba pakeisti bendravimą tarp naudotojo ir apsaugotų svetainių, tokių kaip Gmail ar Facebook. Prie ryšio tiekėjo duomenų turinčios priėjimą vyriausybės gali atlikti tą patį.
„Tegaliu pasakyti, kad tai taip blogai, kaip tik galite įsivaizduoti,“ sakė Johnso Hopkinso universiteto kriptografijos profesorius Matthew'us Greenas.
Apple nepranešė kada ar kaip ji sužinojo apie iOS saugumo spragą veikimo sesijų vadinamajame transporto sluoksnio saugume, taip pat pat nepraneša ar spraga išnaudojama.
Bet pareiškimas jos naudotojų aptarnavimo puslapyje buvo neaiškus: programinei įrangai „nepavyko patvirtinti jungties autentiškumo.“
Apple išleido programinės įrangos pataisas ir atnaujinimus dabartinėms iOS versijoms iPhone 4 ir naujesniems telefonams, 5-os kartos iPod touch grotuvams, bei iPad 2 ir naujesniems planšetiniams kompiuteriams.
Be pataisų, apgavikas gali sukurti netikrą apsaugotą tinklalapį ir įsiterpti į tarp naudotojo ir tikrojo tinklalapio keliaujančius duomenis, sako Greenas.
Išanalizavę pataisą, keletas saugumo tyrėjų sakė, kad ta pati spraga egzistuoja dabartinėse Mac OSX versijose, veikiančiose nešiojamuose ir staliniuose kompiuteriuose. Šiai operacinei sistemai pataisos dar neišleistos, nors tikimasi, kad tai greitai įvyks.
Kadangi šnipai ir programišiai taip pat ištirs pataisą, jie gali sukurti programą, išnaudojančią spragą per kelias dienas ar net valandas.
Tai yra „fundamentali Apple SSL įgyvendinimo yda," sakė Dmitri'jus Alperovichius, vyriausiasis saugumo firmos CrowdStrike Inc. technologas. Adamas Langley'is, Google vyr. inžinierius, sutiko su CrowdStrike, kad OS X kilo grėsmė.
Apple neatsakė į komentarų prašymus. Atrodo, spraga yra gerai suprantamų protokolų įgyvendinime, kas nedaro garbės tokio lygio kompanijai, kaip Apple.
Kompanijai neseniai buvo įgelta per nutekintus žvalgybos dokumentus, kuriuose teigiama, kad žvalgybos įsilaužimo į iPhone telefonus sėkmė buvo 100%.
Penktadienio naujienos rodo, kad programišius irgi gali lydėti tokia sėkmė, jeigu jie žinojo apie spragą.
Joseph Menn, Ken Wills, Robert Birsel
www.reuters.com