La sfarsitul saptamanii trecute va spuneam ca Apple a lansat iOS 6.1.6 si iOS 7.0.6 care aduceau o corectura a sistemului de verificare SSL. O zi mai traziu aflam ca vulnerabilitatea este prezenta si in actualele versiuni ale OS X, pentru care nu exista pana in momentul de fata o rezolvare din partea Apple. Problema SSL este atat de grava incat permite hackerilor sa intercepteze comunicatiile dintre browser-ul web Safari si orice site web protejat prin SSL, avand astfel posibilitatea chiar si de a obtine controlul asupra sistemului de operare si a tuturor datelor primite sau livrate de noi.
Din pacate, astazi aflam ca nu numai browser-ul Safari este afectat de problema de securitate, iar Apple ar putea sa o rezolve modificand o linie de cod scrisa gresit. Conform unei stiri publicate pe site-ul Reuters, o singura linie scrisa gresit in codul programului si o paranteza omisa inseamna ca toate certificatele nu sunt autentificate, deci hackerii vor putea sa captureze traficul electronic inainte de a ajunge pe site-ul real, securizat. Din pacate eroarea este legata de codul de autentificare SSL al Apple, ceea ce inseamna ca mai multe aplicatii sunt vulnerabile si nu doar Safari. Un cercetator in securitate a testat aplicatiile native instalate pe Mac-ul sau si a descoperit ca, pe langa Safari, aplicatiile native FaceTime, iMessage, Mail si chiar sistemul de actualizare software al OS X sunt vulnerabile in fata atacurilor.
Pentru ca eroarea este una extrem de grava si prezenta de mult timp in iOS si OS X, au aparut deja si primele teorii conspirationiste conform carora Apple ar fi lasat cu buna stiinta eroarea in sistemele sale de operare pentru a permite agentiilor guvernamentale, cum ar fi NSA, sa acceseze benevol datele utilizatorilor. Desigur, Apple a negat in mod explicit colaborarea cu agentiile guvernamentale, iar codul in care este prezenta eroarea de securitate face parte din componentele open-source ale Apple. Cu toate acestea, Fortune vine cu o explicatie pertinenta in acest sens, sugerand ca NSA a fost constienta de eroare si a exploatat-o. Conform publicatiei, eroarea a aparut brusc odata cu lansarea iOS 6, de la sfarsitul lunii septembrie a anului 2012, iar Apple a fost adaugata in lista NSA cu servere penetrate (informatie negata chiar de catre cei din Cupertino) o luna mai tarziu. In perioada 1 decembrie 2012 si 31 mai 2013 Apple ar fi primit intre 4.000 si 5.000 de solicitari legate de aproximativ 9.000-10.000 de conturi si dispozitive.
Indiferent daca a facut-o intentionat sau nu, Apple va trebui sa repare eroarea si sa invoce un motiv temeinic pentru care au lasat-o peste un an de zile in doua versiuni diferite atat ale iOS, cat si OS X. Pana cand vor da explicatiile, ar fi bine sa repare eroarea cat mai repede cu putinta. Daca pana la lansarea unei noi versiuni a OS X care sa corecteze eroarea vor mai trece cateva zile, este recomandat ca, pana la instalarea unei versiuni software sigura din acest punct de vedere, sa nu mai utilizati hotspot-uri Wi-Fi publice pentru a accesa site-uri web securizate.
Via: 9to5Mac
