فيديو: بنتنا يا بنتنا (سبتمبر 2024)
أصدرت Apple بهدوء نظام التشغيل iOS 7.06 في وقت متأخر بعد ظهر يوم الجمعة ، مما أدى إلى إصلاح مشكلة في كيفية قيام iOS 7 بالتحقق من صحة شهادات SSL. حذر الخبراء من أن المهاجمين يمكنهم استغلال هذه المشكلة لشن هجوم رجل في الوسط والتنصت على جميع أنشطة المستخدم.
وقالت آبل في استشارتها: "يجوز للمهاجم ذي الموقع الشبكي المميز أن يلتقط أو يعدل البيانات في جلسات العمل المحمية بواسطة SSL / TLS".
يجب على المستخدمين تحديث على الفور.
احترس من التنصت
كالعادة ، لم تقدم Apple الكثير من المعلومات حول المشكلة ، لكن خبراء الأمن المطلعين على الثغرة الأمنية حذروا من أن المهاجمين على نفس الشبكة مثل الضحية سيكونوا قادرين على قراءة الاتصالات الآمنة. في هذه الحالة ، يمكن للمهاجم اعتراض وحتى تعديل الرسائل أثناء انتقالها من جهاز iOS 7 الخاص بالمستخدم إلى مواقع آمنة ، مثل Gmail أو Facebook ، أو حتى لجلسات الخدمات المصرفية عبر الإنترنت. وقال ديميتري ألبيروفيتش ، مدير إدارة العمليات في CrowdStrike ، إن المشكلة هي "خطأ أساسي في تنفيذ SSL من Apple".
يتوفر تحديث البرنامج للإصدار الحالي من iOS لـ iPhone 4 والإصدارات الأحدث ، و iPod Touch من الجيل الخامس ، و iPad 2 والإصدارات الأحدث. iOS 7.06 و iOS 6.1.6. نفس الخلل موجود في أحدث إصدار من Mac OS X ولكن لم يتم تصحيحه بعد ، كتب آدم لانغلي ، وهو مهندس كبير في Google ، على مدونة ImperialViolet. أكد لانغلي أن الخلل كان أيضًا في نظام التشغيل iOS 7.0.4 ونظام التشغيل X 10.9.1
يعد التحقق من صحة الشهادة أمرًا بالغ الأهمية في إنشاء جلسات آمنة ، حيث أن هذا هو كيف يتحقق الموقع (أو الجهاز) من أن المعلومات تأتي من مصدر موثوق. من خلال التحقق من صحة الشهادة ، يعلم موقع البنك أن الطلب قادم من المستخدم ، وليس طلبًا مخادعًا من قِبل أحد المهاجمين. يعتمد متصفح المستخدم أيضًا على الشهادة للتحقق من أن الاستجابة جاءت من خوادم البنك وليس من مهاجم يجلس في الوسط ويعترض الاتصالات الحساسة.
تحديث الأجهزة
يبدو أن Chrome و Firefox ، اللذان يستخدمان NSS بدلاً من SecureTransport ، لا يتأثران بالضعف حتى لو كان نظام التشغيل الأساسي ضعيفًا ، على حد تعبير Langley. قام بإنشاء موقع اختبار على https://www.imperialviolet.org:1266. وقال لانجلي: "إذا كان بإمكانك تحميل موقع HTTPS على المنفذ 1266 ، فهذا يعني أن لديك هذا الخطأ"
يجب على المستخدمين تحديث أجهزتهم Apple في أسرع وقت ممكن ، وعندما يتوفر تحديث OS X ، لتطبيق هذا التصحيح أيضًا. يجب تطبيق التحديثات أثناء وجودها على شبكة موثوق بها ، ويجب على المستخدمين تجنب الوصول إلى المواقع الآمنة أثناء تواجدهم على شبكات غير موثوق بها (خاصة Wi-Fi) أثناء السفر /
كتب Alex Radocea ، باحث من CrowdStrike: "على الأجهزة المحمولة وأجهزة الكمبيوتر المحمول غير المجهزة ، اضبط إعداد" اسأل الانضمام إلى الشبكات "على OFF ، مما سيمنعها من إظهار مطالبات للاتصال بالشبكات غير الموثوق بها".
النظر في المخاوف الأخيرة حول احتمال التطفل الحكومة ، حقيقة أن أجهزة iPhone و iPads لم يتم التحقق من صحة الشهادات بشكل صحيح يمكن أن تكون مثيرة للقلق بالنسبة للبعض. وقال ماثيو جرين ، أستاذ التشفير في جامعة جونز هوبكنز ، المنشور على موقع تويتر: "لن أتحدث عن تفاصيل خلل شركة أبل ، إلا أن أقول ما يلي. إنه أمر خطير ولا يمكن السيطرة عليه بعد".
