| 24 февраля 2014 г. — 4:23 PT
Обновление: На следующий день Apple выпустила OS X 10.9.2, которая включала исправление бага SSL.
После того как Apple исправила баг SSL в iOS, неясно, почему прошло три дня без исправления для OS X, после того как Reuters сообщил, что уязвимость была вызвана ошибкой в одной строке кода.
Проблема заключается в том, как программное обеспечение распознает цифровые сертификаты, используемые банковскими сайтами, сервисом Gmail от Google, Facebook и другими для установления зашифрованных соединений. Одна строка в программе и пропущенная скобка означали, что эти сертификаты вообще не аутентифицировались, поэтому хакеры могут выдавать себя за искомый веб-сайт и перехватывать весь электронный трафик, прежде чем передать его реальному сайту.
Поскольку ошибка находится в коде аутентификации SSL от Apple, она делает уязвимым множество приложений, а не только Safari…
Специалист по безопасности Ашкан Солтани (через Forbes) протестировал приложения, установленные в его системе, и обнаружил, что уязвимыми к ошибке были Mail, Twitter, Facetime, iMessage и даже механизм обновления программного обеспечения Apple.
Некоторые конспирологи предполагали, что Apple намеренно внесла ошибку для использования АНБ. Поскольку код был частью компонентов с открытым исходным кодом Apple и доступен для проверки любому желающему, это кажется крайне маловероятным (и Apple официально это отрицала). Однако Fortune отмечает, что время появления может указывать на то, что АНБ знало об ошибке и использовало ее, при этом ошибка впервые появилась в iOS 6.
- 24 сентября 2012 г.: Выпущена iOS 6.0
- Октябрь 2012 г.: Apple добавлена в список проникнутых серверов АНБ
- 1 декабря 2012 г. — 31 мая 2013 г.: Apple получает от 4000 до 5000 запросов относительно 9000-10000 учетных записей и устройств
Ранее Apple выпустила заявление, обещающее исправление «очень скоро», но на момент написания статьи обновления еще не было. Пока ошибка не исправлена, рекомендуется не заходить на защищенные сайты через общедоступные точки доступа Wi-Fi.
Недавно уволившийся аналитик по безопасности Apple Кристин Пэджет была резка и прямолинейна в своей критике Apple, заявив:
Дорогая Apple, ПОЧИНИ СВОЕ ДЕРЬМО.
Итак, произошла iOS 7.0.6 — вкратце, Apple сломала SSL. Ой. Ну, бывает, установите патч, бла-бла-бла.
Чего не произошло, так это соответствующего патча для OS X. По крайней мере, пока.
КАКОГО ЧЕРТА, APPLE?!?!?!! Вы серьезно использовали одну из своих платформ, чтобы выпустить 0day SSL на другой платформе? Сидя здесь, за своим Mac, я уязвим для этого, и я ничего не могу с этим поделать, потому что вы не смогли выпустить патч для обеих платформ одновременно? Вы ведь знаете, что сейчас в мире существует куча живых, работающих эксплойтов для этого, да? Ваше объявление полностью сосредоточено на iOS, поэтому мы ничего не знаем об OS X (кроме того факта, что эксплойты работают) — не могли бы вы сказать, что в OS X уязвимо? Уязвим ли mail.app? Стоит ли мне беспокоиться о вредоносных SSL/TLS-серверах? А как насчет вашей собственной системы обновлений — она уязвима?
Давайте, Apple. Вы только что выпустили уродский 0day на нас, а потом пошли домой на выходные — goto fail, как говорится.
ПОЧИНИТЕ. ВАШЕ. ДЕРЬМО.
Скоро.
Пожалуйста?
С любовью и объятиями, как всегда,