Apple retter SSL-sikkerhedshul i OS X

En væsentlig sikkerhedsbrist i Apples OS X-styresystem er nu blevet rettet. Fejlen gjorde tredjeparter i stand til at se data fra sikre forbindelser.

Apple er nu klar med en rettelse af den sikkerhedsbrist, der betød, at SSL-forbindelser ikke nødvendigvis blev kontrolleret. Fejlen kunne derfor betyde, at ’sikre’ SSL-forbindelser til netbank, Facebook, e-mail og lignende kunne gå via en tredjepart, der kunne opsnappe data uden brugeren opdagede det. Det skriver BBC.

Læs også: Apple's SSL-brøler

Fejlen ramte i første omgang både OS X, som er installeret på selskabets computere og iOS 7, som er styresystemet på iPads og iPhones. Fejlen i iOS 7 blev rettet sidste uge, men først tirsdag amerikansk tid var en opdatering til OS X klar.

I OS X ramte fejlen kun Apples egen browser, Safari, da den bruger Apples SecureTransport-API, mens eksempelvis Google Chrome og Firefox bruger deres egne løsninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

"En væsentlig sikkerhedsbrist i Apples OS X-styresystem er nu blevet rettet. Fejlen gjorde tredjeparter i stand til at se data fra sikre forbindelser."

Hvis de havde priviligeret adgang til det lokal netværk enheden sad på. Meget meget stor forskel som jeg er sikker på at version2s "journalister" godt er klar over men den lille detalje gør det meget mindre af et sikkerheds hul end hvis man bare undlader at sige hvilken adgang hackeren skal ha for at udnytte hullet.

Så version2s "journalister" kandidere endnu engang til et nyt job hos EB BT the dayli sun og andre nyhedsmedier der er mere interesseret i hvordan de kan vinkle historien til at blive meste sensationalistisk istedet for faktisk bare at rapportere hvad der er virkelighed.

Samt undlade at nævne at den her sårbarhed har været alment kendt siden i fredags og nu er lukket på ALLE apples platforme og dimser tilbage til 2008 mindst.

Mac OS X 10.7 10.8 10.9
iOS 6.x og 7.x (5.x havde ikke hullet)
Apple TV 6.0.2

så alle Macer der kan køre Mac OS X 10.7 lion og alle iOS dimser der kan opdateres til iOS 6 (dem der stoppede ved iOS 5 har ikke været sårbare) er nu alle sikret og det med software releases indenfor en uge.

Og vel og mærke med global udrulning af de releases på alle carriers... Hvor når har nogen andre formået at gøre noget ligende ?
(måske med undtagelse af Microsoft)

Vi lader billedet stå lidt og tænker over hvor stor en indsats det har krævet at release sikkerhedsopdateringer og hvor stort fokus sikkerhed har hos Apple for at dette har kunne lade sig gøre.

Men det glemmer version2 lige lidt fordi det ikke stemmer overens med deres redaktionelle linje om at nyheder der viser at Apple faktisk er en ret god software virksomhed skal skævvrides til ukendelighed i sensationalismens navn.

  • 2
  • 2
Uffe Seerup

Hvis de havde priviligeret adgang til det lokal netværk enheden sad på. Meget meget stor forskel som jeg er sikker på at version2s "journalister" godt er klar over men den lille detalje gør det meget mindre af et sikkerheds hul end hvis man bare undlader at sige hvilken adgang hackeren skal ha for at udnytte hullet.

Priviligeret? En almindelig måde at lave man-in-the-middle angreb er ved at tilbyde wireless adgang som "ligner" et legitimt adgangspunkt (fx. "McDonaldsWifi") eller at sætte en falsk DHCP server op på åbne WiFis. I begge tilfælde kontrollerer angriberen trafikken og kan route http trafik igennem en sin proxy. Proxy == Man in the middle == game over.

Så hvad denne sårbarhed betyder er, at ALLE steder hvor du forbinder til et WiFi er der risiko for at angriberen kommer imellem dig og de sites du benytter.

Det er en SUPER alvorlig brist. Den gør SSL ligegyldig. Argumentet "ja, men man skal have priviligeret adgang på det lokale netværk" kan lige så godt benyttes til at argumentere for at SSL er overflødig. Og det mener du vel ikke?

Modsat mange andre sårbarheder behøver angriberen ikke engang kompromittere din lokale maskine. Han kan bare tage en bærbar med i rygsækken og sætte sig på en McDonalds og begynde at høste passwords.

  • 1
  • 1
Jakob Damkjær

Hvis man ejer netværket har man en priviligeret status og alle kobler jo bare på alle netværk uden at diskriminere...

Og hvis du sidder med en bærbar i en MacD og høster netværk vil politiet kunne finde dig på overvågnings kameraene. Og hvem sidder på macD og lige logger på netbanken ? Så skal man bare lige tá et billede af nemid kortet med en telelinse og så har man begået den perfekte forbrydelse... Eller også kobler folk mest på facebook på cafeen eller macD... Og det er nok ikke mange der har samme password på nemid som på facebook.

Så hvis vi nu skruer lidt ned for cloak and dagger så er lokal netværksadgang ikke en god vektor... Den er ikke ikke eksisterende og har da holdt mig fra SSL websider de sidste 5 dage.. Men nu er hullet lukket på alt Apple hardware der er mindre end 6 år gammelt...

  • 1
  • 1
Kristian Klausen

Og hvis du sidder med en bærbar i en MacD og høster netværk vil politiet kunne finde dig på overvågnings kameraene.


I følge: http://sikringsbranchen.dk/blog/lovgivning-og-regler-for-tv-overvagning må optagelser gemmes i op til 30 dage.
Afhængig af hvad man høster, kan man da godt vente 30 dage. Desuden tror jeg ikke bare lige sådan at politiet kan finde ud af hvordan oplysningerne er blevet "delt".

  • 0
  • 0
Jacob Andersen

Og hvis du sidder med en bærbar i en MacD og høster netværk vil politiet kunne finde dig på overvågnings kameraene.


Hvem siger at "ugerningsmanden" sidder med en laptop? Som Uffe skriver kunne laptoppen ligge i rygsækken - eller indkøbsposen - og høste data automatisk. Og naturligvis kunne det også være en smartphone i jakkelommen.

Og desuden: Hvem siger at "ugerningsmanden" går ind på MacD (hvor videokameraerne dækker)? WiFi går som bekendt gennem vægge, så han kunne sidde ved busstoppestedet udenfor og ligne en, der venter på bussen...

  • 1
  • 0
Uffe Seerup

Så hvis vi nu skruer lidt ned for cloak and dagger så er lokal netværksadgang ikke en god vektor... Den er ikke ikke eksisterende og har da holdt mig fra SSL websider de sidste 5 dage.

Denne Apple goto fail fjerner al sikkerhed som SSL ellers giver. Al.

SSL er ikke uden problemer, men når SSL virker så:

  • Sikrer SSL at du véd hvem du snakker med. Browseren tager certifikatet som indikeres af websitet og kontrollerer at det er legitimt, udstedt af en udsteder som der er tillid til, at det ikke er udløbet samt at det ikke er inddraget igen.

  • Krypteres trafik mellem din browser og website så 3. part på vejen ikke kan læse trafikken. Passwords, personlige oplysninger, kreditkortoplysninger m.v.

Med denne Apple goto fail har du ingen af delene. Det er trivielt at skaffe et certifikat som består de checks som iOS og OS X foretager. Trivielt.

Som jeg skrev før: Alle dine argumenter for hvorfor dette ikke er alvorligt er argumenter for hvorfor SSL ikke er nødvendigt. Denne sårbarhed gør at SSL sikkerhed ikke findes. Og jeg spørger igen: Du mener vel ikke at SSL ikke har nogen værdi?

Apple har nu stillet patches til rådighed, men: Sårbarheden har eksisteret siden iOS 6. Vi véd ikke hvorfor Apple patchede iOS enheder før de havde en OS X patch klar. Det er på overfladen så dumt at man tror at der kunne være andre bevæggrunde. Som fx. at det blev aktivt udnyttet mod iOS enheder i større skala angreb. Den nærmeste fremtid vil nok vise dette.

  • 2
  • 0
Uffe Seerup

Kunne hullet ikke også benyttes hvis man overtager DNS for et domæne?

Jo, god pointe. Hullet kan udnyttes hvis du kan komme ind på netværksstien mellem browser og website. Historien har vist at der er mange muligheder for dette. At lave sin egen DHCP er en meget almindelig måde (fordi DHCP nærmest ingen sikkerhed har). Overtage DNS med fx. poisoning er en anden måde.

Normalt sikrer SSL at selvom angriberen kommer imellem dig og websitet, så får du advarsel fra browseren hvis SSL cert'et ikke passer med sitet. Denne fejl gør at alle certs kan bruges til alle sites.

  • 0
  • 0
Log ind eller Opret konto for at kommentere