То, что вы немедленно накатили обновление и заткнули дыру — безусловно, хорошо. Но дыра присутствовала в iOS с сентября 2012 года! Инженеры, программисты и разработчики роняют в своих твиттерах туманные намеки на всю чудовищность уязвимости. Профессор криптографии Мэттью Грин из Университета Джонса Хопкинса заявил Reuters, что «это настолько серьезная уязвимость, насколько это вообще можно себе представить». Открыто о возможностях эксплуатации эксперты говорить отказываются, чтобы не давать хакерам лишний повод для размышлений.
Причина бага — одна лишняя строчка кода (найденная Адамом Лэнгли и опубликованная им в своем блоге). Она позволяет признавать SSL- и TLS-соединения подлинными даже в том случае, если шифровальный ключ соединения не подтвержден. TLS и SSL — криптографические протоколы, обеспечивающие передачу данных между вашим браузером и сайтом с чувствительной информацией или денежными транзакциями. Установление безопасного соединение обозначается иконкой замка в поисковой строке браузера. Если целостность протокола нарушена, ваш Safari не может поручиться, что вы устанавливаете прямую безопасную связь именно с App Store. Ваш трафик может читать кто угодно.
Западные коллеги называют этот вид хакерского нападения a Man in the Middle attack — неизвестный сидит на связи между вами и сервером и в реальном времени отсматривает и записывает все ваши коммуникации (нечто подобное можно увидеть в одной из серий «Девушки с татуировкой дракона»). Чтобы вы совсем не впали в панику: в заметках к обновлению Apple упоминает, что злоумышленник должен находиться в «привилегированном сетевом положении». На практике это означает, что вы с ним должны быть на одной Wi-Fi-сети. Поскольку не в каждой кофейне сидит по Лисбет Саландер, лично ваши финансовые данные вряд ли были похищены.
P. S. Apple обещает владельцам «Макинтошей» заткнуть дыру в OS X ближайшее время. Пока что в кофейню лучше идти с iPad или iPhone.
Читайте о мобильных приложениях в нашем разделе APPS. Новые материалы — каждый день.
