Warum behoben hat nicht Apple noch seine Massive Sicherheitslücke? (Update: fester!)

Am Freitag veröffentlicht Apple ruhig einen Patch von was erwies sich eine ernsthafte iOS Sicherheitslücke. Fünf Tage später ist, dass der Fehler immer noch sehr präsent in OS X, was bedeutet, dass Ihr MacBook stärker gefährdet als je zuvor. So warum noch nicht Apple es noch fest?

Update: Es ist fest! Besuchen Sie den App Store, und aktualisieren Sie Ihren Mac OS x 10.9.2 jetzt, vorzugsweise über ein gesichertes Netzwerk.

Warum dies wichtig ist

Finden Sie eine genauere Beschreibung der Sicherheitslücke, bekannt als "Goto Fail," hier, sondern im Wesentlichen ermöglicht es bösen Jungs um Ihre Online-Interaktionen ohne Widerstand zu belauschen. Banking Info, e-Mails, Facebook Flirts, all das, was als "Man in the Middle" Angriff durch alle Benutzer im gleichen Netzwerk bekannt anfällig (gelesen: gleiche Starbucks) als Sie.

Es ist ein großer Fehler, eine, ging unentdeckt – von Apple, zumindest – für ein Jahr und eine Hälfte. Wenn Sie ein iPhone haben, sollten Sie auf iOS 7.0.6 sofort aktualisieren. Freuen Sie sich auf einen Patch, der die Sicherheitsanfälligkeit behebt. Wenn Sie einen MacBook haben, müssen Sie diese Option nicht. Wenn Sie einen MacBook haben, riskieren Sie immer noch verletzt wird, jedes Mal, wenn Sie Safari, Kalender, Facetime oder eine Vielzahl von anderen Programmen öffnen, jedes Mal, wenn Sie Ihr MacBook verwenden, um aus einem Café arbeiten, oder mal an einem Flughafen zu töten.

Die OS X apps betroffen "Goto fail;" so aufgedeckt durch Ashkan Soltani

Es ist auch nicht nur eine hypothetische; Sicherheitsberater Aldo Cortesi hat bereits den Fehler die Kontrolle über eine beunruhigende Menge sensibler Informationen und Funktionalität genutzt. Und es dauerte weniger als einen Tag:

Fast alle verschlüsselten Datenverkehr, einschließlich Benutzernamen, Kennwörter und sogar Apple-app-Updates kann erfasst werden. Dazu gehören:

• AppStore und Software aktualisieren, Verkehr
• iCloud-Daten, einschließlich der Schlüsselbund Registrierung und updates
• Daten aus dem Kalender und Erinnerungen
• Mein Mac-Updates zu finden
• Verkehr für Anwendungen, die verwenden Zertifikat anheften, wie Twitter

Es ist schwierig, die Bedeutung dieses Themas zu erklären. Mit einem Tool wie Mitmproxy in der richtigen Position kann ein Angreifer abzufangen, anzeigen und ändern fast alle vertraulichen Datenverkehr. Dies gilt auch für die Software Update-Mechanismus selbst, der HTTPS, für die Bereitstellung verwendet.

Wenn das schlecht klingt, ist es. Es ist sehr, sehr schlecht. Und wenn Aldo Cortesi es in weniger als einem Tag knacken können, stellen Sie sich vor, was eine dedizierte Malfeasant mit vier tun kann und zählen.

Warum die Verzögerung?

Es ist auf den ersten Blick verwirrende, dass es kein OS X-Update noch. Zumal es zwar ein sehr ernstes Thema, es auch auf den ersten Blick eine ziemlich einfache Fehler. Alles dauerte es um iOS zu beheben war, extrahieren Sie eine Zeile der fehlerhafte Code, und schwupps! iPhones waren wieder einmal sicher.

Warum also die halterlosen unter OS X? Ein Apple-Sprecher sagte uns, dass sie "sich dieses Problems bewusst sind und haben bereits ein Software-Update, das sehr bald veröffentlicht werden" aber abgelehnt, weiter ins Detail zu gehen. Es gibt ein paar plausible Theorien, aber keiner davon ist hübsch.

Es ist kompliziert

Während es leicht genug, um zu beheben "Goto fail;" war in iOS, es ist durchaus möglich, dass die OS X-Version ein wenig mehr Muskeln erfordert als eine Zeile zu extrahieren. Das ist die Theorie-Sicherheitsexperte Ashkan Soltani mit geht:

Vernünftig genug! Aber Cortesi geht noch einen Schritt weiter. Betrachten wir das letzte Stück, dass Blockquote von ihm wieder:

Mit einem Tool wie Mitmproxy in der richtigen Position kann ein Angreifer abzufangen, anzeigen und ändern fast alle vertraulichen Datenverkehr. Diese erstreckt sich auf das Software-Update-Mechanismus selbst, die HTTPS, für die Bereitstellung verwendet.

Hervorhebung dieser Zeit. Das heißt, dass Cortesi konnte abzufangen, nicht nur was Passwörter zwischen Ihnen und Ihrer Bank, sondern App Store Verkehr selbst ausgetauscht werden. Und Ratet mal, wo die OS X aktualisieren, dass Korrekturen aus diesem Schlamassel kommen? Im App Store.

Um dies in den einfachsten Bedingungen setzen: Es ist möglich, die während Apple ein Update hat, es weiß nicht, wie man es Ihnen sicher. Ja, können Sie es über ein sicheres Netzwerk herunterladen und in Ordnung sein. Aber wenn Sie versucht, es über öffentliche Wi-Fi herunterladen, es würde nicht viel für einen Hacker zu imitieren den App Store und senden Ihnen die Malware von ihrer Wahl. Da Apple nicht garantieren, dass jeder Download in einer sicheren Umgebung passiert, ist es ein Catch-22.

Zwei Vögel, ein Update

Die andere populäre Theorie ist, dass Apple ein Update im Ort hat, wartet es in einem größeren Update Falten.

Der Screenshot unten zeigt von AppleInsider, einen Vorabversionen Build von OS X 10.9.2, eine bevorstehende Update für dein MacBook und iMac Betriebssystem. Es listet die üblichen Arten von Updates, die Sie erwarten, zu finden; Zuverlässigkeit, Genauigkeit, kleine Features hinzugefügt. Was man nicht sieht, ist jedoch, dass 10.9.2 angeblich die betreffende Sicherheitslücke behebt.

In gewisser Hinsicht ist es auf jeden Fall effizienter für Apple zu bitten, seinen Kunden zu OS X einmal aktualisieren, um eine Vielzahl von Fragen statt zweimal hintereinander zu beheben. Updates sind ärgerlich!

Aber vorweg eine wichtige Sicherheitsupdate aus Effizienzgründen scheint schlecht beraten. Denken Sie an es auf diese Weise: Sie haben eine Reihe von Schönheitsreparaturen Sie wollte schon zu Ihrem Haus zu machen. Eine Lackierung in das Wohnzimmer, die Küche aufräumen vielleicht Reinigung der Dachrinnen reparieren. Die Vorhänge in Ihrem Esszimmer plötzlich fangen Feuer. Man könnte meinen, alles andere warten kann, bis Sie das Feuer heraus setzen; mit OS X Wenn dieser Bericht stimmt, scheint es, dass Apple ist dafür, dass es die richtige Pantone erste hat.

Der Sicherheits-Community ist, wie Sie sich vorstellen können, nicht gerade begeistert über die Aussicht:

Wir haben erreicht an Apple für mehr Klarheit über den Zeitpunkt des Patches, und insbesondere, ob es an OS X 10.9.2 gebunden ist. Aber was am wahrscheinlichsten ist, dass es eine Kombination dieser beiden Faktoren ist; Es ist ein komplizierter Fehler, Patch – und noch wichtiger, Kunden zu liefern – als würden Sie denken, und das Timing reiht sich eng genug mit einem Release Apple wollte push-out sowieso, dass es sinnvoll ist, beides zu verbinden.

Wer weiß? Es ist durchaus möglich, dass 10.9.2 hinausgezögert wird, bis der Fehler vollständig behoben ist, und nicht anders herum.

Wie kann ich mich schützen?

Wenn es eine Sache, die Sie mit Apple über alle dadurch frustriert sein können gibt, ist es, dass sie nicht besonders kommunikativ gewesen. Soweit Sicherheit gehen Mängel, dies ist eine große Sache, aber es gibt Möglichkeiten, sich selbst zu schützen, die weithin von Cupertino veröffentlicht wurde noch nicht.

Zunächst wieder, sollten bist du auf iOS Sie 7.0.6 sofort herunterladen. Geben Sie nicht gehen Sie, sammeln Sie keine 200 $. Sobald Sie das tun, sind iPhone und iPad in Ordnung.

Bist du auf OS X, ist das wichtigste nicht, etwas aus der Ferne empfindlich über öffentliche Wi-Fi zu tun. Das ist eine gute Faustregel unabhängig, aber es ist besonders wichtig während dieser Sicherheitsanfälligkeit in freier Wildbahn. Stick mit Ihrem geschützten Heimnetzwerk Wenn Sie können, Sie in Ordnung sein. Und wenn Sie Chrome oder Firefox verwenden können, — die verwenden ein anderes Sicherheitsprotokoll – für Ihren Browser benötigt.

Und wann geschieht, dass OS X-Patch – ob als Teil des 10.9.2 oder als eigene Update – seien Sie der erste in der Schlange um es herunterzuladen. Nur, Sie wissen, nicht von einem Starbucks.