Warum ist Apple jüngsten Sicherheitslücke So beängstigend
Am Freitag veröffentlichte Apple ruhig iOS 7.0.6, erklärt in einem kurzen Release-Note, die es in dem "ein Angreifer mit einem privilegierten Netzwerkposition kann erfassen oder ändern von Daten in geschützt durch SSL/TLS-Sitzungen." behoben Das ist die schlichte Version. Eine weitere Möglichkeit, es zu sagen? Ihr iPhone jetztaktualisieren.
Ach ja, und übrigens, OS X verfügt über die gleichen Probleme-außer es noch kein Update heraus gibt.
Update, 25.02.14: Apple veröffentlicht nur OS X 10.9.2, welches die Sicherheitslücke, die unten beschriebenen patches. Gehen sie aus dem App Store schon jetzt vorzugsweise über ein sicheres Netzwerk herunterladen.
Wenn Sie verstehen waren dieser Release-Note gemeint in vollem Umfang, die Chancen stehen gut Sie die ersten in der Linie für das iOS-Update. Es liest sich wie gelöscht Szene von Sneakers, hier bedeutet es für Sie und Ihre Apple-Geräte.
Was ist SSL?
SSL steht für Secure Sockets Layer, und es ist, was hilft sicherzustellen, dass die Kommunikation zwischen Ihrem Browser und Ihre Lieblingsweb site Server privat und sicher bleibt. TLS ist, Transport Layer Security eine neuere Protokoll, die im Wesentlichen das gleiche tut. In Kürze ist SSL/TLS einen kryptografischen Schlüssel, mit dem einem Browser und einem Server wissen, dass sie, sie sagen, sie sind, einen geheimen digitale Handschlag, die Ihre finanziellen Informationen schützt, wenn Sie eine Zahlung von Amazon oder Log in wellsfargo.com machen.
Dies alles geschieht im Hintergrund; Ihre einzige direkte Interaktion mit SSL/TLS ist ausgeschaltet, wenn Sie feststellen, dass das Schloss-Symbol in der Suchleiste geklemmt hat. Das bedeutet, dass Sie eine direkte, private, sichere Linie haben.
Der Apple-Bug in Frage –, die wiederum in iOS, aber noch nicht in OS X gepatcht wurde obwohl Apple Reuters diesen Fix sagt ist "sehr bald" – bedeutet, dass Safari oder einer dieser betroffenen Anwendungen nicht tatsächlich sicher wissen, ob der Server es ist zu sprechen, die sie sagen sind, sie sind. Die verlässt Sie und alles, was Sie über das Internet anfällig für einen Mann in the Middle Attacke zu übermitteln.
Was ist ein Mann in the Middle-Attacke?
Ein Mann in the Middle-Attacke, die wir MitM von hier der Kürze halber nennen, ist im Grunde Hightech-abhören. In diesem Fall fängt ein MitM Angreifer auf einem gemeinsam genutzten Netzwerk die Kommunikation zwischen Ihrem Browser und einer Website, Überwachung, Aufzeichnung, sehen alles, was zwischen Ihnen durchsickert.
Google Mail. Facebook. Finanzielle Transaktionen. OK Cupid zu flirten. All das Lesen Sie in Echtzeit, durch ein völlig Fremder. Hier ist es stark vereinfacht grafisch:
Normalerweise sind Angriffe wie diese sind durch SSL/TLS vereitelt (verschlüsselte Händeschütteln sind schwer zu bekommen in der Mitte des), oder zumindest zu schwierig zu lohnen. Aber dieser Apple-Bug erleichtert es schmerzhaft. Dass "privilegierter Netzwerkposition" ein Angreifer sein müsste, auf die verwiesen wird in den Releasenotes? Es ist ein öffentliches Netzwerk. Das bedeutet nur, dass er in der gleichen Starbucks als Sie ist.
Und das geht schon seit September. Von 2012.
Wie ernst ist es?
Wenn Sie immer noch kratzen sind, Ihren Kopf über was dies alles bedeutet und wie schlimm es, der einfachste Weg ist, ist es, dass Entwickler, die es zutiefst verstehen sogar bereit, offen darüber zu sprechen waren nicht zu erklären, aus Angst vor Hacker geben hatte mehr Munition als sie bereits:
Diese gleichen Matthew Green, Johns Hopkins Kryptographie Professor, erklärte auch Reuters, dass es war, "so schlimm wie man sich vorstellen kann, das alles was, die ich sagen kann, ist." Also kann es losgehen!
Sie können es sich leisten, ein bisschen einen tiefen Atemzug nehmen; Passwort-geschützte Heimnetzwerk ist sicher; Offensichtlich gibt es kein Hacker lauern in jedem Café; Ihre persönlichen Daten sind nie so interessant für andere, wie du denkst es ist. Und wenn Sie Ihr iPhone oder iPad auf 7.0.6 aktualisiert habe, du bist gut.
Aber zu wissen, dass dies für ein Jahr und eine Hälfte weitergegangen ist beunruhigend nur auf Prinzip. Und zu wissen, dass es das weithin bekannt und hat nicht noch für MacBooks fest bedeutet, lohnt es sich, ein paar zusätzliche Unzen der Vorsorge.
Wie konnte das passieren?
Niemand weiß, und Apple ist verständlicherweise nicht sagen. Aber Theorien reichen von der plausibel, die Alufolie hüten. Beginnen wir mit was wohl passiert und arbeiten uns nach oben.
Googles Adam Langley detailliert die Besonderheiten des Fehlers in seinem persönlichen Blog, wenn Sie schauen, um einige Code anstarren. Aber im Grunde geht es um eine einfache zusätzliche Zeile aus fast 2.000. Wie ZDNet ausführt, eine Extra "Goto Fail;" bedeutet Anweisung in etwa ein Drittel des Weges versteckt, dass die SSL-Überprüfung in fast allen Fällen unabhängig von durchlaufen werden wenn die Schlüssel oder nicht zusammenpassen.
Die Langley nehmen, und die plausibelste? Dass es jedem hätte passieren kann:
Diese Art der subtile Fehler tief in der Code ist ein Alptraum. Ich glaube, es nur ein Fehler ist und ich fühle sehr schlecht mich für wen rutschte in einem Editor und erstellt es haben könnte.
Dauert es nicht zu viel von einer Strecke der Phantasie, aber ein paar verwackelte Linien zwischen diesen Fehler und die NSA-PRISM-Programm. Nicht als John Gruber gerade dieser letzte Nacht, hat darauf hingewiesen, dass die "Goto fail;" schlich weniger ein Apple-Anhänger Befehl zuerst in iOS 6.0, die nur einen Monat, bevor Apple angeblich die Spionage-Agentur Info-snooping PRISM-Programm hinzugefügt wurde geliefert.
Möchten Sie gehen voll anhand Stanniolzylinder dieses timing, du willkommen bist, aber es höchst unwahrscheinlich ist, dass Apple absichtlich dieses Stück Code hinzugefügt. Es ist jedoch durchaus möglich, dass die NSA darüber herausgefunden, bevor Apple Tat und hat wurde es heimlich für seine Prisma Zwecke ausnutzen.
Wie kann ich das verhindern?
Bist du auf einem iOS-Gerät, müssen Sie 7.0.6 sofort herunterladen. Wenn Sie ein 3GS oder einen alten iPod Touch haben, können Sie stattdessen iOS 6.1.6 herunterladen. Und wenn Sie für eine Indikation suchen der wie Apple dies ernst nimmt, sollte die Tatsache, dass sie eine iOS-Version, die sie unglaublich eifrig unterstützen, auslaufen zu lassen sind so gut wie jeder Indikator.
So weit, aber bist du kein Glück bist du unter OS X. Die Schwachstelle ist immer noch da, und jetzt, dass es weithin publik gemacht worden ist, bösen Jungs wollen gerne nutzen, solange sie können. Es gibt einen inoffiziellen Patch draußen schwimmen, aber bitte wissen, dass es nicht für Anfänger.
Ihre beste Option in der Zwischenzeit ist mit Chrome oder Firefox, die auf OS X sind nicht betroffen. Auch stellen Sie sicher Sie auf gesicherten Netzwerken bleiben, und wenn Sie in einem freigegebenen Netzwerk spielen wind es smart (keine finanziellen Informationen, keine Geschäfte, keine persönlichen Daten). Das ist eine gute Faustregel im Allgemeinen, aber besonders wichtig, bis dies erfolgt rechts.
Alle hoffen, dass ein Update "sehr bald" Stunden oder Tagen, nicht Wochen bedeutet.
Update: Über den Zeitpunkt der OS X-Update hat ein Apple-Sprecher erzählte uns Folgendes:
"Wir sind sich dieses Problems bewusst und haben bereits ein Software-Update, das sehr bald veröffentlicht werden wird."
Die Echos, was zuvor von Reuters gemeldet worden waren, aber einige Hoffnung, dass eine Release bevorsteht.
Top Image Credit: Twitter
MitM Diagramm: Wiki Commons/Miraceti