Biztonsági hibától szenved az iPhone és az iPad
Az Apple egy fontos frissítést adott ki az iPhone, iPad és iPod touch készülékeihez, amivel egy súlyos biztonsági rést is befoltozott.A múlt héten számoltunk be a Biztonságportálon arról, hogy a hamis biztonsági tanúsítványokkal történő visszaélések az okostelefonok és táblagépek esetében fokozott veszélyt jelentenek. A mobil alkalmazások nem mindig ellenőrzik megfelelően a tanúsítványok érvényességét, hitelességét, és probléma esetén gyakorta nem jelzik a kockázatokat olyan látványos módon, mint ahogy például azt az asztali számítógépeken futó webböngészők teszik. Ezért egyes támadástípusokat a mobilokon nehezebb felismerni, így például azt is, ha egy támadó beékelődik a mobil (akár banki) alkalmazás és a szerverek közé, majd lehallgatja, rosszabb esetben manipulálja az adatforgalmat. Mint kiderült, az e féle támadásokra eddig az Apple mobil készülékei is meglehetősen érzékenyek voltak.
Az Apple az iOS 7.0.6-os, illetve 6.1.6-os verziójának (és az Apple TV 6.0.2-es változatának) kiadásával számos hibának intett búcsút. Ezek között lapul egy veszélyes sérülékenység is, amelyről a cég meglehetősen szűkszavúan nyilatkozott. Mindössze annyit közölt, hogy a hiba a biztonságos hálózati kapcsolatok nem megfelelő hitelesítésére vezethető vissza, és a problémát ellenőrzések visszaállításával orvosolta. Vagyis elképzelhető, hogy régebben ez a rendellenesség nem létezett, és valamely újabb iOS verzió megjelenésekor csúszott hiba a rendszerbe. Az azonban biztos, hogy a sérülékenységgel kapcsolatos első hivatalos bejegyzés (CVE-2014-1266) január 8-án született.
Így segíti a hiba a támadókat
Az iOS sérülékenysége elsősorban közbeékelődéses (man-in-the-middle) támadásokra adhat lehetőséget. A támadónak először azt kell elérnie, hogy hozzáférjen ahhoz a hálózathoz, amelyre a kiszemelt eszköz is csatlakozik. Ezt megteheti például egy étterem WiFi hálózatának segítségével. Ezt követően bekapcsolódhat a mobil készülék és az arról felkeresett weboldal, kiszolgáló közötti adatforgalomba, és azt lehallgathatja, vagy módosíthatja. A biztonsági hiba miatt mindezt olyan módon tudja megtenni, hogy az Apple operációs rendszere nem veszi észre azt, hogy a titkosított kommunikációval (illetve az ahhoz tartozó tanúsítvánnyal) valami nincs rendben.
„Annak ellenére, hogy a sebezhetőség nem teszi lehetővé a készülékek közvetlen manipulálását, az mégis komoly veszélyt jelent a felhasználók bizalmas adataira nézve, amelyek közbeékelődéses támadások áldozataivá válhatnak" - nyilatkozta Chaouki Bekrar, a VUPEN elnök-vezérigazgatója. Matthew Green, a Johns Hopkins Egyetem professzora pedig arra hívta fel a figyelmet, hogy a sérülékenység kihasználásával az adattolvajok védett weboldalakat is „megszemélyesíthetnek”, és bizalmas adatok, e-mailek, pénzügyi információk birtokába juthatnak.
Dmitri Alperovich, a CrowdStrike műszaki igazgatója szerint az iOS kapcsán felmerült, SSL-problémák egy része a Mac OS X operációs rendszerben is megtalálható lehet, azonban ahhoz még nem érkezett frissítés. Ha tényleg bebizonyosodik, hogy a Mac OS X is érintett, akkor az Apple-nek mihamarabb lépnie kell, mert napokon belül megjelenhetnek az első olyan kódok, amikkel a sérülékenységek kihasználhatóvá válhatnak.
Az iPhone, iPad és iPod touch tulajdonosok számára a mielőbbi frissítés javasolt.
-
Az IBM a QRadar SIEM-ben egy kritikus biztonsági hibát javított.
-
A LibreOffice-hoz egy biztonsági javítás vált elérhetővé.
-
A Google ismét súlyos sérülékenységeket szüntetett meg a Chrome böngészőben.
-
Az SAP kiadta a májusi biztonsági frissítéseit.
-
Az Adobe egy tucat sebezhetőséget orvosolt a PDF-kezelő alkalmazásai kapcsán.
-
Az Adobe Illustrator három sebezhetőség miatt kapott frissítést.
-
A VMware fontos hibajavításokat adott ki a Workstation és a Fusion megoldásaihoz.
-
Az Apple kiadta a mobil operációs rendszereinek legújabb biztonsági javításait.
-
Jelentős biztonsági frissítés érkezett a macOS operációs rendszerhez.
-
Elérhetővé váltak a Windows májusi frissítései.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.