НовостиОбзорыВсе о нейросетяхБытовая техника 2024ГаджетыТехнологииНаукаСоцсетиЛайфхакиFunПромокодыСтранные вопросыЭксперты

Уязвимость iOS обнаружили и закрыли на выходных

24 февраля 2014
22 февраля операционная система iOS-устройств неожиданно была обновлена до версии iOS 7.0.6. Апдейт занимает 14 мегабайт. Его цель — заткнуть дыру в интерфейсе программирования приложений для безопасных SSL- и TLS-соединений. Уязвимость позволяет обойти проверку цифровых сертификатов, использующихся для подтверждения связи между сервером и клиентом. Другими словами: ставьте патч как можно быстрее! Инженер Google Адам Лэнгли пишет в своем блоге, что уязвимость присутствовала в iOS 7.0.4 и до сих пор зияет в десктопной и ноутбучной OS X (для «Макинтошей» пока апдейтов ОС не выходило).

То, что вы немедленно накатили обновление и заткнули дыру — безусловно, хорошо. Но дыра присутствовала в iOS с сентября 2012 года! Инженеры, программисты и разработчики роняют в своих твиттерах туманные намеки на всю чудовищность уязвимости. Профессор криптографии Мэттью Грин из Университета Джонса Хопкинса заявил Reuters, что «это настолько серьезная уязвимость, насколько это вообще можно себе представить». Открыто о возможностях эксплуатации эксперты говорить отказываются, чтобы не давать хакерам лишний повод для размышлений.

Причина бага — одна лишняя строчка кода (найденная Адамом Лэнгли и опубликованная им в своем блоге). Она позволяет признавать SSL- и TLS-соединения подлинными даже в том случае, если шифровальный ключ соединения не подтвержден. TLS и SSL — криптографические протоколы, обеспечивающие передачу данных между вашим браузером и сайтом с чувствительной информацией или денежными транзакциями. Установление безопасного соединение обозначается иконкой замка в поисковой строке браузера. Если целостность протокола нарушена, ваш Safari не может поручиться, что вы устанавливаете прямую безопасную связь именно с App Store. Ваш трафик может читать кто угодно.

Западные коллеги называют этот вид хакерского нападения a Man in the Middle attack — неизвестный сидит на связи между вами и сервером и в реальном времени отсматривает и записывает все ваши коммуникации (нечто подобное можно увидеть в одной из серий «Девушки с татуировкой дракона»). Чтобы вы совсем не впали в панику: в заметках к обновлению Apple упоминает, что злоумышленник должен находиться в «привилегированном сетевом положении». На практике это означает, что вы с ним должны быть на одной Wi-Fi-сети. Поскольку не в каждой кофейне сидит по Лисбет Саландер, лично ваши финансовые данные вряд ли были похищены.

P. S. Apple обещает владельцам «Макинтошей» заткнуть дыру в OS X ближайшее время. Пока что в кофейню лучше идти с iPad или iPhone.

Читайте о мобильных приложениях в нашем разделе APPS. Новые материалы — каждый день.