Jeśli chcecie mnie wesprzeć to zapraszam do kupna mojego poradnika "Jakim jesteś Makiem?".

Brak działającego SSL w OS X i iOS od września 2012

· Wojtek Pietrusiewicz · 18 komentarzy

Przed paroma dniami pojawiło się niespodziewane uaktualnienie dla iOS 7, która naprawiało jeden błąd – problem z weryfikacją połączeń SSL. Został on odkryty przez firmę CrowdStrike oraz inżyniera Google. W międzyczasie okazało się również, że istnieje on od września 2012 roku – pojawił się razem z premierą iOS 6. Ale nie panikujcie jeszcze…

Czy problem dotyczy też Was?

Możecie to sprawdzić, w bardzo prosty sposób. Wystarczy udać się na stronę gotofail.com, która sprawdzi Waszą aktualnie używaną przeglądarkę.

Co robić?

Brak działającego SSL dotyczy, jeśli to co specjaliści od bezpieczeństwa piszą jest prawdą, nie tylko Safari, ale również FaceTime, iMessage, Twitter, Calendar, Keynote, Mail, iBooks, Software Update oraz kilku innych programów. Przypominam – nie panikujcie… i tak niewiele możecie zrobić w tym względzie.

W jakiej sytuacji Wasze dane mogły wpaść w niepowołane ręce?

Jeśli byliście zalogowani do niezabezpieczonej i/lub publicznej sieci Wi-Fi, która wykorzystywała inne standardy szyfrowania niż WPA2, to ktoś mógł przechwycić Wasze dane logowania, bankowe, hasła i tym podobne, która normalnie są przesyłane w zaszyfrowanej formie. Zostało to szczegółowo opisane przez CrowdStrike:

To pull off the attack an adversary has to be able to Man-in-The-Middle (MitM) network connections, which can be done if they are present on the same wired or wireless network as the victim. Due to a flaw in authentication logic on iOS and OS X platforms, an attacker can bypass SSL/TLS verification routines upon the initial connection handshake. This enables an adversary to masquerade as coming from a trusted remote endpoint, such as your favorite webmail provider and perform full interception of encrypted traffic between you and the destination server, as well as give them a capability to modify the data in flight (such as deliver exploits to take control of your system).

W dużym skrócie, hacker dostaje się „pomiędzy” Was, a serwer, z którym się łączycie. Nie jestem specjalistą od bezpieczeństwa, więc liczę bardzo na to, że Krzysztof Młynarski opisze to szczegółowo na łamach iMagazine, aby przybliżyć sytuację.

Jak uniknąć problemów?

  1. iOS – Zaktualizować system do 7.0.6 jak najszybciej.
  2. OS X – Czekać na łatkę od Apple. Jest już takowa od osoby trzeciej, ale nie ufam tej osobie, więc nie linkuję. Oficjalna ma się pojawić lada moment.
  3. iOS i OS X – Unikać niezabezpieczonych sieci lub posiadających szyfrowanie po WEP lub WPA. WPA2 jest obowiązującym standardem.
  4. OS X – Zainstalować najnowszego Chrome’a lub Firefoxa i sprawdzić czy na pewno są bezpieczne przez stronę gotofail.com.

Teorie spiskowe

Bardzo ciekawą teorię spiskową wysnuł John Gruber. Zwraca uwagę na to, że bug w kodzie SSL pojawił się w październiku 2012 roku, a miesiąc później Apple „przystąpiło” do PRISM. Na tej podstawie wyciąga pięć możliwych wniosków:

  1. NSA nic o tym nie wiedziało.
  2. NSA o tym wiedziało, ale nie wykorzystało tej luki.
  3. NSA wiedziało o luce i ją wykorzystało.
  4. NSA wprowadziło problem do kodu Apple przez agenta pracującego w Apple.
  5. Apple samo dodało buga do swojego kodu.

Gruber sam wybiera bramkę numer 3 i jestem skłonny się w tej kwestii zgodzić – ładnie też tłumaczy obecność Apple na slajdach PRISM. Opcja numer 4 wydaje się być dobra dla Hollywood, a piąta kompletnie oderwana od rzeczywistości.


Niezależnie od powyższego oraz tego jak łatwo było tego buga wprowadzić do kodu, tak duży fuckup jest niedopuszczalny. Najbardziej martwią mnie połączenia z iTunes Store, w którym mam podaną kartę kredytową. Połączenia, które wykonywałem między innymi w Indiach na sieciach, które są monitorowane m.in. przez rząd. Nic niepokojącego nie zauważyłem przez ostatnich kilka miesięcy, więc trzymam kciuki.

Apple niedawno rozszerzyło listę krajów, w których można włączyć podwójną autoryzację dla naszego Apple ID, ale Polska jeszcze się na niej nie znalazła… Mogliby się pośpieszyć w tym względzie…

Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.

  • Paweł Guraj

    Warto sprawdzać na „czystym łączu” do Internetu. Część korporacyjnych firewalli wykrywa ten typ ataku na SSL i blokuje połączenia fałszując wynik na stronie gotofail.

  • Słuszna uwaga.

  • Marcel Herba

    U mnie błąd wyrzuca tylko Safari. Chromium się opiera od wczorajszej aktualizacji.

  • mef

    Najbezpieczniejszy system…

  • Kamil

    Gdyby chodziło o Androida to artukuł byłby napisany na 100% w innym tonie. Ale cóż – Apple.

  • Kutafon

    No raczej, przecież to Wojtuś. Czego się spodziewałeś : D

  • Zależy. Myślę, że fakt, iż 10 mln userów Androida zaraziło się wirusem, który wykradł wszystkich ich dane jest znacznie poważniejszym problemem, a nie pisałem o tym.

  • Darek

    Link?

  • Nie podam teraz. Musiałbym poszukać w Google. Było na wszelkich Androidowych portalach.

  • Mnie martwi iOS 7.1 beta który ciągle ma też ten błąd, mam nadzieję że nowa beta wyjdzie bardzo szybko.

  • mef

    Można polemizować, czy zarazenie 10 milionów urządzeń przy pomocy zewnętrznej aplikacji (ktora zapewne trzeba zainstalować?) jest poważniejszym problemem niz narażenie kilkuset milionów użytkowników iOS na utratę swoich najważniejszych danych przy korzystaniu z praktycznie każdej systemowej aplikacji zainstalowanej w czystym systemie.

  • Różnica kolosalna. Tam masz w 100% wykradzione dane. Tutaj potrzebujesz być podłączony do WiFi bez zabezpieczeń na której jest akurat hacker.

  • mef

    Z tą drobną różnicą, że tam trzeba było zainstalować zewnętrzną aplikację, a tutaj od momentu kupna urządzenie jest otwarte dla każdego, kto zechce do niego zajrzeć.
    „Potrzebuje być podłączony do wifi, na której jest hacker”- myślę, że być podłączonym, do takiej sieci to w każdym większym mieście rzecz raczej powszechna. Otwartych sieci jest multum.

    PS Inna sprawa, że skandalem jest, że łatka na OSX jest niezałatana od 3 dni. Jak już Arment krytykuje za coś Apple, to coś jest naprawdę nie w porządku.

    Ale co tam, nie ma co panikować. Numery kilkuset milionów kart kredytowych dostępne. Drobnostka.

  • No akurat tam było gorzej, bo 10 mln+ userów już ją miało na całym świecie… Jakbyś chciał zajrzeć do mojego iPhone’a to musiałbyś włamać się do mojej domowej sieci WPA2, i dopiero potem masz dostęp jak się będę łączył z SSL. Trochę inna sytuacja.
    Owszem, skandal – z tego co wiem, to OS X 10.9.2 został przyśpieszony z tego powodu.
    Nie są dostępne – przeczytaj proszę ze zrozumieniem. Obawą jest hasło do konta, a nie CC, której dane NIE SĄ transmitowane podczas zakupu w iTunes.

  • Paweł Guraj

    Hola, hola ;) Chyba nikt nie myśli że jeżeli podłączy się do otwartej sieci to jest w jakikolwiek sposób bezpieczny niezależnie od tego czy ma dziurawy SSL czy nie. Poza tym, tu trzeba jeszcze podszyć się pod gw (czyli conajmniej wyspoofować arp’a), przechwycić SSL’a, podrobić transmisję – to jednak mimo wszystko więcej niż aplikacja, która po prostu ssie dane i śle w Świat. Nie umniejsza to oczywiście fatalności tejże dziury w kontekście jej genezy.

  • Pingback: OS X 10.9.2 dostępny | Makowe ABC()

  • mg_WEB

    Jest w tym racja, że na Androidzie ponad 10mln użytkowników miało realny problem, ale tylko i wyłącznie z własnej winy, gdyż świadomie zainstalowali podejrzaną aplikację, która zapewne nic nie robiła. Lludzie często instalują jakieś badziewie, bo są ciekawscy. Wystarczy jakiś odlotowy opis programu i parę lipnych screenów i wielu się na to rzuca. Więc sami są sobie winni. W przypadku użytkowników urządzeń od Apple można to samo powiedzieć, że sami są sobie winni kupując iPhone, iPad itd. Ale tak na poważnie, to setki milionów ludzi przez ponad rok myślało, że mają bezpieczny system, a tu się jednak okazało, że niestety nie. I gdyby nie odkrycie osób trzecich nie związanych z Apple, to zapewne ten błąd byłby powielany w kolejnych odsłonach iOS i OS X. Jest to jednak ogromna wpadka Apple.

  • Pingback: iOS 7 – iMessage i iCloud Keychain bezpieczne przed NSA | Makowe ABC()