Biztonsági hibától szenved az iPhone és az iPad

Az Apple egy fontos frissítést adott ki az iPhone, iPad és iPod touch készülékeihez, amivel egy súlyos biztonsági rést is befoltozott.
 

A múlt héten számoltunk be a Biztonságportálon arról, hogy a hamis biztonsági tanúsítványokkal történő visszaélések az okostelefonok és táblagépek esetében fokozott veszélyt jelentenek. A mobil alkalmazások nem mindig ellenőrzik megfelelően a tanúsítványok érvényességét, hitelességét, és probléma esetén gyakorta nem jelzik a kockázatokat olyan látványos módon, mint ahogy például azt az asztali számítógépeken futó webböngészők teszik. Ezért egyes támadástípusokat a mobilokon nehezebb felismerni, így például azt is, ha egy támadó beékelődik a mobil (akár banki) alkalmazás és a szerverek közé, majd lehallgatja, rosszabb esetben manipulálja az adatforgalmat. Mint kiderült, az e féle támadásokra eddig az Apple mobil készülékei is meglehetősen érzékenyek voltak.

Az Apple az iOS 7.0.6-os, illetve 6.1.6-os verziójának (és az Apple TV 6.0.2-es változatának) kiadásával számos hibának intett búcsút. Ezek között lapul egy veszélyes sérülékenység is, amelyről a cég meglehetősen szűkszavúan nyilatkozott. Mindössze annyit közölt, hogy a hiba a biztonságos hálózati kapcsolatok nem megfelelő hitelesítésére vezethető vissza, és a problémát ellenőrzések visszaállításával orvosolta. Vagyis elképzelhető, hogy régebben ez a rendellenesség nem létezett, és valamely újabb iOS verzió megjelenésekor csúszott hiba a rendszerbe. Az azonban biztos, hogy a sérülékenységgel kapcsolatos első hivatalos bejegyzés (CVE-2014-1266) január 8-án született.

Így segíti a hiba a támadókat

Az iOS sérülékenysége elsősorban közbeékelődéses (man-in-the-middle) támadásokra adhat lehetőséget. A támadónak először azt kell elérnie, hogy hozzáférjen ahhoz a hálózathoz, amelyre a kiszemelt eszköz is csatlakozik. Ezt megteheti például egy étterem WiFi hálózatának segítségével. Ezt követően bekapcsolódhat a mobil készülék és az arról felkeresett weboldal, kiszolgáló közötti adatforgalomba, és azt lehallgathatja, vagy módosíthatja. A biztonsági hiba miatt mindezt olyan módon tudja megtenni, hogy az Apple operációs rendszere nem veszi észre azt, hogy a titkosított kommunikációval (illetve az ahhoz tartozó tanúsítvánnyal) valami nincs rendben.

„Annak ellenére, hogy a sebezhetőség nem teszi lehetővé a készülékek közvetlen manipulálását, az mégis komoly veszélyt jelent a felhasználók bizalmas adataira nézve, amelyek közbeékelődéses támadások áldozataivá válhatnak" - nyilatkozta Chaouki Bekrar, a VUPEN elnök-vezérigazgatója. Matthew Green, a Johns Hopkins Egyetem professzora pedig arra hívta fel a figyelmet, hogy a sérülékenység kihasználásával az adattolvajok védett weboldalakat is „megszemélyesíthetnek”, és bizalmas adatok, e-mailek, pénzügyi információk birtokába juthatnak.

Dmitri Alperovich, a CrowdStrike műszaki igazgatója szerint az iOS kapcsán felmerült, SSL-problémák egy része a Mac OS X operációs rendszerben is megtalálható lehet, azonban ahhoz még nem érkezett frissítés. Ha tényleg bebizonyosodik, hogy a Mac OS X is érintett, akkor az Apple-nek mihamarabb lépnie kell, mert napokon belül megjelenhetnek az első olyan kódok, amikkel a sérülékenységek kihasználhatóvá válhatnak.

Az iPhone, iPad és iPod touch tulajdonosok számára a mielőbbi frissítés javasolt.