Épp tegnap írtunk arról, hogy a hamis biztonsági tanúsítványok milyen veszélyt jelentenek, főleg a mobil alkalmazások esetében. Most kiderült, hogy az Apple mobil készülékei is veszélyben vannak.

A hiba az iOS-ben van

Az Apple egy sor hibát javított az iOS 7.0.6-os, 6.1.6-os és az Apple TV 6.0.2-es változatával. Köztük egy veszélyes sérülékenységet is, amelyről a cég meglehetősen szűkszavúan nyilatkozott: a hiba a biztonságos hálózati kapcsolatok nem megfelelő hitelesítésére vezethető vissza, és az ellenőrzések visszaállításával orvosolták is. Ebből arra lehet következtetni, hogy a biztonsági rés újabb keletű, és valamely újabb iOS verzió megjelenésekor csúszott hiba a rendszerbe. Csupán annyi biztos, hogy a sérülékenységgel kapcsolatos első hivatalos infó (CVE-2014-1266) január 8-án született.

Az iOS sérülékenysége elsősorban közbeékelődéses (man-in-the-middle) támadásokra adhat lehetőséget. A támadó először valamilyen módszerrel, például egy nyílt Wi-Fi kapcsolaton keresztül  hozzáfér ahhoz a hálózathoz, amelyre a kiszemelt eszköz is csatlakozik. Utána pedig már könnyedén bekapcsolódhat a mobil készülék és az arról felkeresett weboldal, kiszolgáló közötti adatforgalomba, hogy azt lehallgassa vagy módosítsa.

A biztonsági hiba miatt az Apple operációs rendszere nem érzékeli, hogy a titkosított kommunikációval (illetve az ahhoz tartozó tanúsítvánnyal) valami nincs rendben.

Bár a sebezhetőség arra nem ad módot, hogy a támadott készüléket közvetlenül is lehessen manipulálni, a felhasználók bizalmas adatai veszélyben vannak – hívta fel a figyelmet Chaouki Bekrar, a VUPEN elnök-vezérigazgatója. Matthew Green, a Johns Hopkins Egyetem professzora, pedig arra hívta fel a figyelmet, hogy a sérülékenység kihasználásával az adattolvajok védett weboldalakat is „megszemélyesíthetnek”, hogy bizalmas adatokat, e-maileket, pénzügyi információkat szerezzenek meg.

A Mac OS X is veszélyben lehet

Dmitri Alperovich, a CrowdStrike műszaki igazgatója azt sem tartja elképzelhetetlennek, hogy ez az iOS-ben feltárt SSL-probléma részben vagy egészében a Mac OS X-ben is megvan, és ráadásul ahhoz még nincs frissítés. Erre utal az is, hogy állítólag olyan kódrészletet találtak az operációs rendszerben, amelyen keresztül kis ügyeskedéssel többek között a Calendar-, a Facetime- és a Keynote-adatokhoz is szinte bárki hozzáférhet.

Ha iPhone-t, iPadet vagy iPod touchot használ, a mielőbbi frissítse készüléke operációs rendszerét.

_{(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)}