System iOS

Dlaczego aktualizacje iOS 7.0.6 i 6.1.6 są bardzo ważne?

Generalnie użytkownicy urządzeń z iOS stosunkowo chętnie instalują aktualizacje systemowe. Nie mniej jednak, nie robimy tego zawsze, a przynajmniej nie od razu. Zwłaszcza ostatnio wydana aktualizacja iOS 7.0.6 i 6.1.6 może wydawać się mało istotna – przecież nie wprowadza dla użytkownika żadnych nowości. Możemy przeczytać w opisie, że…

To uaktualnienie zabezpieczeń zawiera poprawkę do weryfikacji połączeń SSL.

 

Jestem pewien, że przynajmniej część użytkowników nie wie co to dokładnie jest ten cały „SSL”, a dalsza część z nich być może wyszła z założenia – „nie wiem co to jest, to pewnie tego nie używam i jest mi to nie potrzebne”. Inni mogli po prostu machnąć na aktualizację ręką lub nawet nie wgłębiali się w opis, całkowicie ignorując informację na jej temat.

O wadze aktualizacji świadczy już chociażby to, że Apple wydało ją także do niewspieranego już oficjalnie systemu 6.1, a tym samym dla starszych urządzeń, jak iPhone 3GS i iPod touch 4 gen.

Z SSL korzystamy właściwie nieświadomie łącząc się ze stroną banku, sprawdzając pocztę, czy robiąc zakupy. Pomimo, że teoretycznie bezpieczne połączenia SSL, pozwalają nam przesyłać przez internet zaszyfrowane informacje, to odkryta luka (którą naprawiają wspomniane wyżej aktualizacje iOS), pozwalała hakerom przechwytywać przesyłane dane oraz przeprowadzić tzw. „atak man-in-the-middle”, który polega na podsłuchaniu, a następnie zmodyfikowaniu przesyłanej wiadomości. W ten sposób można chociażby przechwycić i odczytać hasła, pocztę, itd., bez potrzeby czasochłonnego łamania zaszyfrowanych danych. W praktyce nie jesteśmy świadomi tego, że ktoś dane przechwytuje. Podczas nawiązywania połączenia między nami, a jakimś serwerem, pojawia się osoba trzecia – haker („man in the middle”), który najprościej mówiąc, „przedstawia” się nam, jako serwer, z którym chcemy się połączyć, a jednocześnie w komunikacji z serwerem podszywa się pod nas. W ten sposób wszystkie przesyłane dane przechodzą przez hackera, który mimo stosowania połączenia SSL jest w stanie je odczytywać. Dzieje się tak, ponieważ w momencie nawiązania połączenia otrzymujemy od hakera klucz publiczny, który nasze urządzenie, traktuje jako ten pochodzący z serwera. Więcej informacji na temat tego typu ataku, oraz przykładowy jego scenariusz, możecie znaleźć na Wikipedii.

Ponieważ luka znajduje się w jednej z bibliotek systemu, automatycznie narażona jest przez to większość aplikacji, z których korzystamy. Poniższa lista prezentuje tylko kilka z nich:

gotofail

Biorąc pod uwagę ilość urządzeń z iOS i to, jak często wykorzystujemy je do łączenia się z Internetem, problem i zagrożenie staje się bardzo poważne w skali globalnej. W związku z tym lepiej nie lekceważyć i nie zwlekać z wykonaniem aktualizacji 7.0.6/6.1.6. Dobrze też, co zawsze podkreślam, przed wykonywaniem jakichkolwiek update’ów systemu, upewnić się, że mamy wykonaną kopię bezpieczeństwa.

Powyższa luka, nazwana „gotofail” wciąż jest obecna w OS X, na komputerach Mac. Apple jest oczywiście świadome jej istnienia i niebawem powinna pojawić się stosowana aktualizacja.

To Top