Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru
, Источник: Reuters

Уязвимость iOS обнаружили и закрыли на выходных

22 февраля операционная система iOS-устройств неожиданно была обновлена до версии iOS 7.0.6. Апдейт занимает 14 мегабайт. Его цель — заткнуть дыру в интерфейсе программирования приложений для безопасных SSL- и TLS-соединений. Уязвимость позволяет обойти проверку цифровых сертификатов, использующихся для подтверждения связи между сервером и клиентом. Другими словами: ставьте патч как можно быстрее! Инженер Google Адам Лэнгли пишет в своем блоге, что уязвимость присутствовала в iOS 7.0.4 и до сих пор зияет в десктопной и ноутбучной OS X (для «Макинтошей» пока апдейтов ОС не выходило).

То, что вы немедленно накатили обновление и заткнули дыру — безусловно, хорошо. Но дыра присутствовала в iOS с сентября 2012 года! Инженеры, программисты и разработчики роняют в своих твиттерах туманные намеки на всю чудовищность уязвимости. Профессор криптографии Мэттью Грин из Университета Джонса Хопкинса заявил Reuters, что «это настолько серьезная уязвимость, насколько это вообще можно себе представить». Открыто о возможностях эксплуатации эксперты говорить отказываются, чтобы не давать хакерам лишний повод для размышлений.

Причина бага — одна лишняя строчка кода (найденная Адамом Лэнгли и опубликованная им в своем блоге). Она позволяет признавать SSL- и TLS-соединения подлинными даже в том случае, если шифровальный ключ соединения не подтвержден. TLS и SSL — криптографические протоколы, обеспечивающие передачу данных между вашим браузером и сайтом с чувствительной информацией или денежными транзакциями. Установление безопасного соединение обозначается иконкой замка в поисковой строке браузера. Если целостность протокола нарушена, ваш Safari не может поручиться, что вы устанавливаете прямую безопасную связь именно с App Store. Ваш трафик может читать кто угодно.

Западные коллеги называют этот вид хакерского нападения a Man in the Middle attack — неизвестный сидит на связи между вами и сервером и в реальном времени отсматривает и записывает все ваши коммуникации (нечто подобное можно увидеть в одной из серий «Девушки с татуировкой дракона»). Чтобы вы совсем не впали в панику: в заметках к обновлению Apple упоминает, что злоумышленник должен находиться в «привилегированном сетевом положении». На практике это означает, что вы с ним должны быть на одной Wi-Fi-сети. Поскольку не в каждой кофейне сидит по Лисбет Саландер, лично ваши финансовые данные вряд ли были похищены.

P. S. Apple обещает владельцам «Макинтошей» заткнуть дыру в OS X ближайшее время. Пока что в кофейню лучше идти с iPad или iPhone.

 

Читайте о мобильных приложениях в нашем разделе APPS. Новые материалы — каждый день.

Хотите получать первыми новости Apple? Жмите на кнопку подписки
Подписаться
Отписаться
Обзоры новинок
Подробности о главных премьерах
Вы подписались на рассылку.Отменить
Подписаться на рассылку
Комментарии
8
freedoom37rus
В ответ на комментарий от Nikolai Tretiakov История переписки2
Nikolai Tretiakov
Подарили бы вам золотой жетон, но мы не гроссмейстеры)
http://profilib.com/chtenie/5021/vasiliy-aksenov-pobeda.php
СсылкаПожаловаться
спасибо и на этом))
СсылкаПожаловаться
Nikolai Tretiakov
В ответ на комментарий от freedoom37rus
freedoom37rus
"злоумышленник должен находиться в «привелигированном сетевом положении»"
привилегия проверочное слово, хотя бы в Викисловаре написание проверяйте
СсылкаПожаловаться
Подарили бы вам золотой жетон, но мы не гроссмейстеры)
http://profilib.com/chtenie/5021/vasiliy-aksenov-pobeda.php
СсылкаПожаловаться
Nikolai Tretiakov
В ответ на комментарий от freedoom37rus
freedoom37rus
"злоумышленник должен находиться в «привелигированном сетевом положении»"
привилегия проверочное слово, хотя бы в Викисловаре написание проверяйте
СсылкаПожаловаться
Спасибо, что заметили.
Проверочное слово знаем, не беспокойтесь)
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru