Warum ist Apple jüngsten Sicherheitslücke So beängstigend


Am Freitag veröffentlichte Apple ruhig iOS 7.0.6, erklärt in einem kurzen Release-Note, die es in dem "ein Angreifer mit einem privilegierten Netzwerkposition kann erfassen oder ändern von Daten in geschützt durch SSL/TLS-Sitzungen." behoben Das ist die schlichte Version. Eine weitere Möglichkeit, es zu sagen? Ihr iPhone jetztaktualisieren.

Ach ja, und übrigens, OS X verfügt über die gleichen Probleme-außer es noch kein Update heraus gibt.

Update, 25.02.14: Apple veröffentlicht nur OS X 10.9.2, welches die Sicherheitslücke, die unten beschriebenen patches. Gehen sie aus dem App Store schon jetzt vorzugsweise über ein sicheres Netzwerk herunterladen.

Wenn Sie verstehen waren dieser Release-Note gemeint in vollem Umfang, die Chancen stehen gut Sie die ersten in der Linie für das iOS-Update. Es liest sich wie gelöscht Szene von Sneakers, hier bedeutet es für Sie und Ihre Apple-Geräte.

Was ist SSL?

SSL steht für Secure Sockets Layer, und es ist, was hilft sicherzustellen, dass die Kommunikation zwischen Ihrem Browser und Ihre Lieblingsweb site Server privat und sicher bleibt. TLS ist, Transport Layer Security eine neuere Protokoll, die im Wesentlichen das gleiche tut. In Kürze ist SSL/TLS einen kryptografischen Schlüssel, mit dem einem Browser und einem Server wissen, dass sie, sie sagen, sie sind, einen geheimen digitale Handschlag, die Ihre finanziellen Informationen schützt, wenn Sie eine Zahlung von Amazon oder Log in wellsfargo.com machen.

Dies alles geschieht im Hintergrund; Ihre einzige direkte Interaktion mit SSL/TLS ist ausgeschaltet, wenn Sie feststellen, dass das Schloss-Symbol in der Suchleiste geklemmt hat. Das bedeutet, dass Sie eine direkte, private, sichere Linie haben.

Der Apple-Bug in Frage –, die wiederum in iOS, aber noch nicht in OS X gepatcht wurde obwohl Apple Reuters diesen Fix sagt ist "sehr bald" – bedeutet, dass Safari oder einer dieser betroffenen Anwendungen nicht tatsächlich sicher wissen, ob der Server es ist zu sprechen, die sie sagen sind, sie sind. Die verlässt Sie und alles, was Sie über das Internet anfällig für einen Mann in the Middle Attacke zu übermitteln.

Was ist ein Mann in the Middle-Attacke?

Ein Mann in the Middle-Attacke, die wir MitM von hier der Kürze halber nennen, ist im Grunde Hightech-abhören. In diesem Fall fängt ein MitM Angreifer auf einem gemeinsam genutzten Netzwerk die Kommunikation zwischen Ihrem Browser und einer Website, Überwachung, Aufzeichnung, sehen alles, was zwischen Ihnen durchsickert.

Google Mail. Facebook. Finanzielle Transaktionen. OK Cupid zu flirten. All das Lesen Sie in Echtzeit, durch ein völlig Fremder. Hier ist es stark vereinfacht grafisch:

Normalerweise sind Angriffe wie diese sind durch SSL/TLS vereitelt (verschlüsselte Händeschütteln sind schwer zu bekommen in der Mitte des), oder zumindest zu schwierig zu lohnen. Aber dieser Apple-Bug erleichtert es schmerzhaft. Dass "privilegierter Netzwerkposition" ein Angreifer sein müsste, auf die verwiesen wird in den Releasenotes? Es ist ein öffentliches Netzwerk. Das bedeutet nur, dass er in der gleichen Starbucks als Sie ist.

Und das geht schon seit September. Von 2012.

Wie ernst ist es?

Wenn Sie immer noch kratzen sind, Ihren Kopf über was dies alles bedeutet und wie schlimm es, der einfachste Weg ist, ist es, dass Entwickler, die es zutiefst verstehen sogar bereit, offen darüber zu sprechen waren nicht zu erklären, aus Angst vor Hacker geben hatte mehr Munition als sie bereits:

Diese gleichen Matthew Green, Johns Hopkins Kryptographie Professor, erklärte auch Reuters, dass es war, "so schlimm wie man sich vorstellen kann, das alles was, die ich sagen kann, ist." Also kann es losgehen!

Sie können es sich leisten, ein bisschen einen tiefen Atemzug nehmen; Passwort-geschützte Heimnetzwerk ist sicher; Offensichtlich gibt es kein Hacker lauern in jedem Café; Ihre persönlichen Daten sind nie so interessant für andere, wie du denkst es ist. Und wenn Sie Ihr iPhone oder iPad auf 7.0.6 aktualisiert habe, du bist gut.

Aber zu wissen, dass dies für ein Jahr und eine Hälfte weitergegangen ist beunruhigend nur auf Prinzip. Und zu wissen, dass es das weithin bekannt und hat nicht noch für MacBooks fest bedeutet, lohnt es sich, ein paar zusätzliche Unzen der Vorsorge.

Wie konnte das passieren?

Niemand weiß, und Apple ist verständlicherweise nicht sagen. Aber Theorien reichen von der plausibel, die Alufolie hüten. Beginnen wir mit was wohl passiert und arbeiten uns nach oben.

Googles Adam Langley detailliert die Besonderheiten des Fehlers in seinem persönlichen Blog, wenn Sie schauen, um einige Code anstarren. Aber im Grunde geht es um eine einfache zusätzliche Zeile aus fast 2.000. Wie ZDNet ausführt, eine Extra "Goto Fail;" bedeutet Anweisung in etwa ein Drittel des Weges versteckt, dass die SSL-Überprüfung in fast allen Fällen unabhängig von durchlaufen werden wenn die Schlüssel oder nicht zusammenpassen.

Die Langley nehmen, und die plausibelste? Dass es jedem hätte passieren kann:

Diese Art der subtile Fehler tief in der Code ist ein Alptraum. Ich glaube, es nur ein Fehler ist und ich fühle sehr schlecht mich für wen rutschte in einem Editor und erstellt es haben könnte.

Dauert es nicht zu viel von einer Strecke der Phantasie, aber ein paar verwackelte Linien zwischen diesen Fehler und die NSA-PRISM-Programm. Nicht als John Gruber gerade dieser letzte Nacht, hat darauf hingewiesen, dass die "Goto fail;" schlich weniger ein Apple-Anhänger Befehl zuerst in iOS 6.0, die nur einen Monat, bevor Apple angeblich die Spionage-Agentur Info-snooping PRISM-Programm hinzugefügt wurde geliefert.

Möchten Sie gehen voll anhand Stanniolzylinder dieses timing, du willkommen bist, aber es höchst unwahrscheinlich ist, dass Apple absichtlich dieses Stück Code hinzugefügt. Es ist jedoch durchaus möglich, dass die NSA darüber herausgefunden, bevor Apple Tat und hat wurde es heimlich für seine Prisma Zwecke ausnutzen.

Wie kann ich das verhindern?

Bist du auf einem iOS-Gerät, müssen Sie 7.0.6 sofort herunterladen. Wenn Sie ein 3GS oder einen alten iPod Touch haben, können Sie stattdessen iOS 6.1.6 herunterladen. Und wenn Sie für eine Indikation suchen der wie Apple dies ernst nimmt, sollte die Tatsache, dass sie eine iOS-Version, die sie unglaublich eifrig unterstützen, auslaufen zu lassen sind so gut wie jeder Indikator.

So weit, aber bist du kein Glück bist du unter OS X. Die Schwachstelle ist immer noch da, und jetzt, dass es weithin publik gemacht worden ist, bösen Jungs wollen gerne nutzen, solange sie können. Es gibt einen inoffiziellen Patch draußen schwimmen, aber bitte wissen, dass es nicht für Anfänger.

Ihre beste Option in der Zwischenzeit ist mit Chrome oder Firefox, die auf OS X sind nicht betroffen. Auch stellen Sie sicher Sie auf gesicherten Netzwerken bleiben, und wenn Sie in einem freigegebenen Netzwerk spielen wind es smart (keine finanziellen Informationen, keine Geschäfte, keine persönlichen Daten). Das ist eine gute Faustregel im Allgemeinen, aber besonders wichtig, bis dies erfolgt rechts.

Alle hoffen, dass ein Update "sehr bald" Stunden oder Tagen, nicht Wochen bedeutet.

Update: Über den Zeitpunkt der OS X-Update hat ein Apple-Sprecher erzählte uns Folgendes:

"Wir sind sich dieses Problems bewusst und haben bereits ein Software-Update, das sehr bald veröffentlicht werden wird."

Die Echos, was zuvor von Reuters gemeldet worden waren, aber einige Hoffnung, dass eine Release bevorsteht.

Top Image Credit: Twitter

MitM Diagramm: Wiki Commons/Miraceti

Verwandte Artikel

Heartbleed: Warum ist das Internet klaffende Sicherheitslücke So beängstigend

In der Vergangenheit Jahre 15 oder so, wir haben alle gelernt, im Internet ziemlich sicher fühlen. BigSite.com ist sicherlich Ihre Kreditkarteninformationen Handhabung, sicher, mindestens so sicher wie jede Backstein und Mörtel speichern. Vielleicht nicht...

Apple sagt, dass so genannte Sicherheitslücke ist nicht eigentlich eine Sicherheitslücke

Anfang dieser Woche, war das Internet in die Arme von einer neuen iOS Sicherheitslücke, genannt "Masque Angriff", die von Security-Unternehmen FireEye entdeckt wurde. Apple hat eine Erklärung zu iMore aufzeigen, dass Masque Angriff überhaupt wir...

Warum ist eine Fußgängerbrücke In London So viel Empörung inspirierend.

Es dauert nicht viel zu einigen Städten wütend machen. Aber in London, ist eine besondere Art von Wut fließt über ein Projekt, das scheint ziemlich unbedenklich: eine Fußgängerbrücke über die Themse. Warum? Die Garten-Brücke ist als "verzauberte Raum...

Warum ist Apple das Herzstück der Auto-Anmeldung Pensionen

Zwei Jahre nach Millionen von Arbeitern sein Auto begann-eingeschrieben in einer Pension, betrachten wir ihre Mittel wie ergeht Es gibt gute Nachrichten für die 4,5 Millionen Arbeitnehmer, die Teil ihres Gehalts in eine Rente zahlen, zum ersten Mal unter...

Warum ist Apple Kunden Appetit für seine Produkte unersättlich?

Apples neueste Launch-Event nächste Woche dürfte überraschen – das echte Rätsel ist, wie das Unternehmen Menschen zu halten zum Kauf überzeugt "Siri, uns einen Hinweis geben," sagte Apples Einladung zum Media Event am kommenden Mittwoch. Aber nu...

Google ist wie eine fatale Sicherheitslücke beheben.

Google macht die besten Sicherheits-Feature, zweistufige Überprüfung, ein kleines bisschen leichter bedienbar. Diese Woche gab das Unternehmen bekannt, dass es ärgerlich (und hackable) sechsstelligen Code mit einem einfachen "Ja" oder "no&q...

Warum behoben hat nicht Apple noch seine Massive Sicherheitslücke? (Update: fester!)

Am Freitag veröffentlicht Apple ruhig einen Patch von was erwies sich eine ernsthafte iOS Sicherheitslücke. Fünf Tage später ist, dass der Fehler immer noch sehr präsent in OS X, was bedeutet, dass Ihr MacBook stärker gefährdet als je zuvor. So warum noch...

Das Update für Apples beängstigend OS X Sicherheitslücke ist hier

Apple hat ein Update für die unheimlich OS X Sicherheitslücke, jemand mit "privilegierten Zugriff" auf Ihre Netzwerkverbindung an Informationen erhalten Sie mit dem, denken ist sicher. Es ist jetzt im App Store. Hier ist, was Sie über das Update...

Zombie-Sicherheitslücke betrifft jede Version von Windows

Ein Team von Forschern vor kurzem fand eine Zombie-Sicherheitslücke, die jede einzelne Version von Windows betrifft – einschließlich der Windows 10 Vorschau. Microsoft hat keine Pläne, um die Sicherheitsanfälligkeit zu beheben. Die Schwachstelle ist ein Z...

IPhone 6 s Sicherheitslücke ermöglicht es Angreifern Zugriff Kontakte und Fotos ohne passcode

Lockscreen Schwachstelle ermöglicht Angreifern, schnell Zugang zu personenbezogenen Daten auf einem gesperrten iPhone 6 s oder 6 s Plus mit Siri, Twitter und 3D Touch Eine Sicherheitslücke mit dem iPhone 6 s und 6 s Plus wird niemanden Telefon sperren und...

Android Sicherheitslücke ermöglicht Hackern Steuerung Ihres Telefons mit einem Text

Die beste Verteidigung gegen Ihre Gadgets immer überschwemmt mit Malware seit jeher persönliche Wachsamkeit. "Hmm, diese app sieht skizzenhaft und ist eine Drittanbieter-app-Store habe, dem ich noch nie gehört habe." "NEIN!" Aber eine...

Warum ist die Musikindustrie kämpfen YouTube und was passiert als nächstes?

Etiketten stehen Sie mit Googles Videodienst über Einkünfte und Rechte, aber es ist auch ihr größter Partner für das streaming von Musik YouTube und die Musik-Industrie? Es ist kompliziert. YouTube ist die größte Musik-Streaming-Dienst in der Welt mit ein...

Die OS X Apps Apples ungepatchte Sicherheitslücke betroffen

Während Apple vor kurzem eine große Sicherheitslücke für iOS gepatcht, weiterhin dieselbe Schwachstelle OS X beeinflussen. Bis Apple ein Update veröffentlicht – das heißt es wird "sehr bald" kommen – hier sind einige der apps, die Sie sollten ve...

Was ist das beste Alter Lücke zwischen Geschwistern? 5 Eltern teilen Sie ihre Meinung

Kommend von einem Latina-Haushalt, wo die Familie so wichtig ist, ich immer gefragt, "Wenn Sie Baby Nummer 2 planen?" Meine Großmutter hatte 10 Kinder – jeweils ein Jahr auseinander – und nach ihr, meine biologische Uhr tickt. Als die Mutter ein...