Την Παρασκευή η Apple κυκλοφόρησε, χωρίς τυμπανοκρουσίες, την έκδοση iOS 7.0.6, εξηγώντας σε ένα σύντομο σημείωμα ότι διορθώνει ένα bug σύμφωνα με το οποίο “ένας εισβολέας σε μία προνομιακή δικτυακή θέση μπορεί να συλλάβει ή να τροποποιήσει δεδομένα σε sessions που προστατεύονται από το πρωτόκολλο SSL/TLS”. Και δεν ξέρουμε πώς σας ακούγεται όλο αυτό, πάντως, το ζήτημα που έχει προκύψει, αλλά και η ευπάθεια στην επαλήθευση συνδέσεων SSL η οποία υπάρχει και διορθώνεται με τη νέα αναβάθμιση, είναι πάρα πολύ σοβαρή. Τόσο που συνιστάται να πραγματοποιήσετε άμεσα τη νέα ενημέρωση στην iOS συσκευή σας, αλλά και να είστε προσεκτικοί αν χρησιμοποιείτε το OS X που επίσης επηρεάζεται (μέχρι να βγει το σχετικό patch, κάτι που η Apple έχει υποσχεθεί ότι θα γίνει σύντομα – update: μόλις βγήκε η έκδοση OS X 10.9.2 που διορθώνει το SSL bug).
SSL/TLS bug. What;
Τι είναι όμως το SSL/TLS bug της Apple και γιατί θεωρείται ανησυχητική η ευπάθεια που προέκυψε; Το πρωτόκολλο SSL (Secure Sockets Layer) διασφαλίζει με απλά λόγια το ότι η επικοινωνία μεταξύ του browser και των websites που επισκέπτεστε παραμένει ιδιωτική και ασφαλής. Το TLS (Transport Layer Security), από την άλλη, είναι ένα ακόμη πιο πρόσφατο πρωτόκολλο που κάνει ακριβώς την ίδια δουλειά. Εν συντομία, λοιπόν, το SSL/TLS είναι κρυπτογραφικό κλειδί που επιτρέπει σε έναν browser και έναν server να διασφαλίζουν ότι είναι όντως αυτοί που ισχυρίζονται ότι είναι, αποτελώντας κάτι που αποκαλείται και ως “ψηφιακή χειραψία” η οποία διατηρεί τις πληροφορίες σας ασφαλείς, όταν π.χ. κάνετε μία ηλεκτρονική αγορά στο Amazon και έχετε εισάγει στη συσκευή σας ευαίσθητα προσωπικά δεδομένα. Όλα αυτά, φυσικά, συμβαίνουν στο background και εσείς αντιλαμβάνεστε μόνο το εικονίδιο κλειδώματος στην μπάρα αναζήτησης, που συνεπάγεται ότι βρίσκεστε σε μία ασφαλή σύνδεση.
Τι προβλήματα μπορεί να σας προκαλέσει το SSL bug της Apple;
Το Apple bug έχει ως αποτέλεσμα ο Safari (αλλά και άλλες εφαρμογές που πιθανόν επηρεάζονται από το bug όπως τα iMessages ή το FaceTime) να μη γνωρίζουν ακριβώς αν οι servers που επισκέπτεστε είναι αυτοί που ισχυρίζονται. Και αυτό σας κάνει ευάλωτους σε επιθέσεις από εισβολείς τύπου “Man in the Middle attack” (MitM).
Πόσο επικίνδυνο μπορεί να είναι αυτό; Πολύ, καθώς ένας MitM εισβολέας, που βρίσκεται σε κοινό δίκτυο με εσάς, μπορεί να παρέμβει στην επικοινωνία μεταξύ του browser σας και ενός site και να παρακολουθήσει, να καταγράψει και να δει ακριβώς ό,τι κάνετε. Ο εισβολέας, βέβαια, θα πρέπει απαραίτητα να βρίσκεται στο ίδιο δίκτυο με εσάς, π.χ. οπουδήποτε είστε συνδεδεμένοι σε ένα κοινό public Wi-Fi. Το πιο ανησυχητικό όλων είναι ότι όλα αυτά τα προβλήματα και η ευπάθεια έχουν ξεκινήσει να υφίστανται εδώ και αρκετό καιρό, από το Σεπτέμβριο του 2012, όταν διατέθηκε το iOS 6.0.
Πώς το SSL bug συνδέεται με το σκάνδαλο PRISM;
Το timing είναι για κάποιους “περίεργο” έτσι, επιχειρούν να συνδέσουν το σφάλμα αυτό με το σκάνδαλο PRISM των παρακολουθήσεων της NSA, κι αυτό γιατί το iOS 6.0, που ήταν και το πρώτο με αυτό το SSL bug, διατέθηκε ένα μήνα πριν από την εποχή που η Apple φέρεται να προστέθηκε στο πρόγραμμα παρακολούθησης PRISM Τυχαίο; Κάποιοι λένε πως ναι, και πως είναι εξαιρετικά απίθανο η Apple να πρόσθεσε σκόπιμα αυτό το κομμάτι του κώδικα, τίποτα όμως δεν μπορεί σήμερα να αποκλειστεί με σιγουριά. Κανείς δεν γνωρίζει πάντως πώς ακριβώς προέκυψε το ζήτημα, ενώ και η Apple δεν δίνει τις κατάλληλες εξηγήσεις.
Πώς θα προστατευτείτε από το SSL bug;
Σας έπιασε… πονοκέφαλος από τα νέα; Για να έχετε το κεφάλι σας ήσυχο, πάντως, αν έχετε μία από τις πρόσφατες iOS συσκευές, κατεβάστε το iOS 7.0.6. Αν πάλι έχετε ένα 3GS ή ένα παλιό iPod touch κατεβάστε το iOS 6.1.6.
Αν πάλι έχετε το OS X, υφίσταται το κενό ασφαλείας και, προς το παρόν, δεν υπάρχει official patch παρά μόνο unofficial. Οι ειδικοί συστήνουν να χρησιμοποιήσετε Chrome ή Firefox μέχρι να λυθεί το θέμα, καθώς δεν επηρεάζονται όπως ο Safari, αλλά και να επισκεφθείτε το site gotofail.com για να δείτε αν η συσκευή σας επηρεάζεται, ωστόσο η Apple έχει υποσχεθεί patch άμεσα – update: μόλις βγήκε η έκδοση OS X 10.9.2 που διορθώνει το SSL bug.
τα σχόλια είναι κλειδωμένα.