Apple retter SSL-sikkerhedshul i OS X

26. februar 2014 kl. 08:4413
Apple retter SSL-sikkerhedshul i OS X
Illustration: iStockphoto.com.
En væsentlig sikkerhedsbrist i Apples OS X-styresystem er nu blevet rettet. Fejlen gjorde tredjeparter i stand til at se data fra sikre forbindelser.
person
Christian Østergaard
Jourhavende, ing.dk
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person
Christian Østergaard
Jourhavende, ing.dk

Apple er nu klar med en rettelse af den sikkerhedsbrist, der betød, at SSL-forbindelser ikke nødvendigvis blev kontrolleret. Fejlen kunne derfor betyde, at ’sikre’ SSL-forbindelser til netbank, Facebook, e-mail og lignende kunne gå via en tredjepart, der kunne opsnappe data uden brugeren opdagede det. Det skriver BBC.

Artiklen fortsætter efter annoncen

Fejlen ramte i første omgang både OS X, som er installeret på selskabets computere og iOS 7, som er styresystemet på iPads og iPhones. Fejlen i iOS 7 blev rettet sidste uge, men først tirsdag amerikansk tid var en opdatering til OS X klar.

I OS X ramte fejlen kun Apples egen browser, Safari, da den bruger Apples SecureTransport-API, mens eksempelvis Google Chrome og Firefox bruger deres egne løsninger.

Emner
13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
Sune Rentow
26. februar 2014 kl. 22:09

Kunne hullet ikke også benyttes hvis man overtager DNS for et domæne?

  • more_vert
    • insert_linkKopier link
12
Uffe Seerup
26. februar 2014 kl. 22:18

Kunne hullet ikke også benyttes hvis man overtager DNS for et domæne?

Jo, god pointe. Hullet kan udnyttes hvis du kan komme ind på netværksstien mellem browser og website. Historien har vist at der er mange muligheder for dette. At lave sin egen DHCP er en meget almindelig måde (fordi DHCP nærmest ingen sikkerhed har). Overtage DNS med fx. poisoning er en anden måde.

Normalt sikrer SSL at selvom angriberen kommer imellem dig og websitet, så får du advarsel fra browseren hvis SSL cert'et ikke passer med sitet. Denne fejl gør at alle certs kan bruges til alle sites.

  • more_vert
    • insert_linkKopier link
1
Jakob Damkjær
26. februar 2014 kl. 12:26

"En væsentlig sikkerhedsbrist i Apples OS X-styresystem er nu blevet rettet. Fejlen gjorde tredjeparter i stand til at se data fra sikre forbindelser."

Hvis de havde priviligeret adgang til det lokal netværk enheden sad på. Meget meget stor forskel som jeg er sikker på at version2s "journalister" godt er klar over men den lille detalje gør det meget mindre af et sikkerheds hul end hvis man bare undlader at sige hvilken adgang hackeren skal ha for at udnytte hullet.

Så version2s "journalister" kandidere endnu engang til et nyt job hos EB BT the dayli sun og andre nyhedsmedier der er mere interesseret i hvordan de kan vinkle historien til at blive meste sensationalistisk istedet for faktisk bare at rapportere hvad der er virkelighed.

Samt undlade at nævne at den her sårbarhed har været alment kendt siden i fredags og nu er lukket på ALLE apples platforme og dimser tilbage til 2008 mindst.

Mac OS X 10.7 10.8 10.9 iOS 6.x og 7.x (5.x havde ikke hullet) Apple TV 6.0.2

så alle Macer der kan køre Mac OS X 10.7 lion og alle iOS dimser der kan opdateres til iOS 6 (dem der stoppede ved iOS 5 har ikke været sårbare) er nu alle sikret og det med software releases indenfor en uge.

Og vel og mærke med global udrulning af de releases på alle carriers... Hvor når har nogen andre formået at gøre noget ligende ? (måske med undtagelse af Microsoft)

Vi lader billedet stå lidt og tænker over hvor stor en indsats det har krævet at release sikkerhedsopdateringer og hvor stort fokus sikkerhed har hos Apple for at dette har kunne lade sig gøre.

Men det glemmer version2 lige lidt fordi det ikke stemmer overens med deres redaktionelle linje om at nyheder der viser at Apple faktisk er en ret god software virksomhed skal skævvrides til ukendelighed i sensationalismens navn.

  • more_vert
    • insert_linkKopier link
5
Uffe Seerup
26. februar 2014 kl. 16:53

Hvis de havde priviligeret adgang til det lokal netværk enheden sad på. Meget meget stor forskel som jeg er sikker på at version2s "journalister" godt er klar over men den lille detalje gør det meget mindre af et sikkerheds hul end hvis man bare undlader at sige hvilken adgang hackeren skal ha for at udnytte hullet.

Priviligeret? En almindelig måde at lave man-in-the-middle angreb er ved at tilbyde wireless adgang som "ligner" et legitimt adgangspunkt (fx. "McDonaldsWifi") eller at sætte en falsk DHCP server op på åbne WiFis. I begge tilfælde kontrollerer angriberen trafikken og kan route http trafik igennem en sin proxy. Proxy == Man in the middle == game over.

Så hvad denne sårbarhed betyder er, at ALLE steder hvor du forbinder til et WiFi er der risiko for at angriberen kommer imellem dig og de sites du benytter.

Det er en SUPER alvorlig brist. Den gør SSL ligegyldig. Argumentet "ja, men man skal have priviligeret adgang på det lokale netværk" kan lige så godt benyttes til at argumentere for at SSL er overflødig. Og det mener du vel ikke?

Modsat mange andre sårbarheder behøver angriberen ikke engang kompromittere din lokale maskine. Han kan bare tage en bærbar med i rygsækken og sætte sig på en McDonalds og begynde at høste passwords.

  • more_vert
    • insert_linkKopier link
6
Jakob Damkjær
26. februar 2014 kl. 18:20

Hvis man ejer netværket har man en priviligeret status og alle kobler jo bare på alle netværk uden at diskriminere...

Og hvis du sidder med en bærbar i en MacD og høster netværk vil politiet kunne finde dig på overvågnings kameraene. Og hvem sidder på macD og lige logger på netbanken ? Så skal man bare lige tá et billede af nemid kortet med en telelinse og så har man begået den perfekte forbrydelse... Eller også kobler folk mest på facebook på cafeen eller macD... Og det er nok ikke mange der har samme password på nemid som på facebook.

Så hvis vi nu skruer lidt ned for cloak and dagger så er lokal netværksadgang ikke en god vektor... Den er ikke ikke eksisterende og har da holdt mig fra SSL websider de sidste 5 dage.. Men nu er hullet lukket på alt Apple hardware der er mindre end 6 år gammelt...

  • more_vert
    • insert_linkKopier link
11
Uffe Seerup
26. februar 2014 kl. 22:13

Så hvis vi nu skruer lidt ned for cloak and dagger så er lokal netværksadgang ikke en god vektor... Den er ikke ikke eksisterende og har da holdt mig fra SSL websider de sidste 5 dage.

Denne Apple goto fail fjerner al sikkerhed som SSL ellers giver. Al.

SSL er ikke uden problemer, men når SSL virker så:

  • Sikrer SSL at du véd hvem du snakker med. Browseren tager certifikatet som indikeres af websitet og kontrollerer at det er legitimt, udstedt af en udsteder som der er tillid til, at det ikke er udløbet samt at det ikke er inddraget igen.

  • Krypteres trafik mellem din browser og website så 3. part på vejen ikke kan læse trafikken. Passwords, personlige oplysninger, kreditkortoplysninger m.v.

Med denne Apple goto fail har du ingen af delene. Det er trivielt at skaffe et certifikat som består de checks som iOS og OS X foretager. Trivielt.

Som jeg skrev før: Alle dine argumenter for hvorfor dette ikke er alvorligt er argumenter for hvorfor SSL ikke er nødvendigt. Denne sårbarhed gør at SSL sikkerhed ikke findes. Og jeg spørger igen: Du mener vel ikke at SSL ikke har nogen værdi?

Apple har nu stillet patches til rådighed, men: Sårbarheden har eksisteret siden iOS 6. Vi véd ikke hvorfor Apple patchede iOS enheder før de havde en OS X patch klar. Det er på overfladen så dumt at man tror at der kunne være andre bevæggrunde. Som fx. at det blev aktivt udnyttet mod iOS enheder i større skala angreb. Den nærmeste fremtid vil nok vise dette.

  • more_vert
    • insert_linkKopier link
8
Jacob Andersen
26. februar 2014 kl. 19:07

Og hvis du sidder med en bærbar i en MacD og høster netværk vil politiet kunne finde dig på overvågnings kameraene.

Hvem siger at "ugerningsmanden" sidder med en laptop? Som Uffe skriver kunne laptoppen ligge i rygsækken - eller indkøbsposen - og høste data automatisk. Og naturligvis kunne det også være en smartphone i jakkelommen.

Og desuden: Hvem siger at "ugerningsmanden" går ind på MacD (hvor videokameraerne dækker)? WiFi går som bekendt gennem vægge, så han kunne sidde ved busstoppestedet udenfor og ligne en, der venter på bussen...

  • more_vert
    • insert_linkKopier link
2
Casper Thomsen
26. februar 2014 kl. 12:37

quote at Apple faktisk er en ret god software virksomhed (...)[/quote] Læs kildekoden. I min bog producerer "en ret god softwarevirksomhed" ikke sådan noget skrammel.

  • more_vert
    • insert_linkKopier link