Vineri compania Apple lansa o actualizare inopinata a iOS 6 si iOS 7 cu scopul de a rezolva o problema aparent minora a sistemului de verificare a conexiunilor SSL. Cateva zile mai tarziu s-a descoperit ca problema este mult mai grava decat pare si ca ea afecteaza inclusiv posesorii de Mac-uri, care raman in continuare vulnerabili in fata hackerilor. Din pacate, eroarea iOS si OS X nu afecteaza numai aplicatia Safari, ci si alte aplicatii importante, conform unui expert in masuri de securitate. Pentru a ne confirma ca problema OS X afecteaza o gama complexa de programe, un alt specialist in securitate vine cu o alta descoperire legata de eroarea SSL.
Aldo Cortesi a scris, intr-o postare pe blogul personal, ca a durat mai putin de o zi pentru a reusi sa exploateze eroarea de securitate din OS X si iOS (versiuni anterioare iOS 7.0.6) cu scopul de a captura traficul de date facut prin protocolul SSL (care ar trebui sa fie cel mai sigur). Astfel, el a reusit sa obtina date importante venite de la App Store, sistemul de actualizare software, datele iCloud, inclusiv cele ale Portcheiului iCloud, datele venite de la aplicatiile Calendar si Mementouri, actualizarile utilitarului Gasire iPhone propriu si traficul facut de aplicatii care utilizeaza sistemul de protectie, cum ar fi Twitter. Celelalt expert in securitate a reusit sa intercepteze traficul altor aplicatii decat cele mentionate de Cortesi, fiind astfel evindent faptul ca o gama larga de programe ale OS X sunt afectate grav in acest moment de vulnerabilitatea SSL.
Pentru a intercepta traficul, specialistul in securitate Aldo Cortesi a modificat un proxy man-in-the-middle, obtinand astfel acces la toate datele transferate de aplicatiile si serviciile mentionate anterior. Problema este cu atat mai grava cu cat ea afecteaza inclusiv sistemul Portchei iCloud, care ofera, teoretic, o protectie sporita a datelor (nume utilizator, parole si date card) stocate pe serverele iCloud. Chiar daca sistemul foloseste codarea AES pe 256 biti, acesta se dovedeste a fi inutila in conditiile in care sistemele de operare au o eroare datorata scrierii gresite a unei linii de cod.
Actualizare: Apple a inlaturat eroarea si din OS X, lansand actualizari pentru OS X Mavericks, OS X Lion si OS X Mountain Lion.
Sursa: Aldo Cortesi
