Apple žada artimiausiu laiku ištaisyti šifravimo klaidą Mac kompiuteriuose
Reuters praneša, kad Apple žada išleisti atnaujinimą, kuris užkirs kelia šnipams ir programišiams pasisavinti elektroninius laiškus, finansinę bei kitą informaciją iš Mac kompiuterių.
Apple ką tik užlopė SSL saugumo spragą iOS 7 ir iOS 6 operacinėse sistemose, tačiau ši spraga, kaip rašiau anksčiau, egzistuoja ir Mac OS X ir Apple tai patvirtino: „Mes žinome apie šią problemą ir jau turime šios klaidos ištaisymą, kurį paskelbsime labai greitai“, sakė Apple atstovas spaudai Trudy Muller, kalbėdamas su Reuters.
Paaiškėjus, kad SSL klaida egzistuoja ir Mac kompiuteriuose, žvalgybos ir nusikalstamo kibernetinio pasaulio atstovai suskubo rašyti programinį kodą išnaudojantį šią spragą, kol Apple jos dar neužtaisė.
Ši klaida yra tiek keista savo būdu, kad ekspertai apkaltino Apple nepakankamu programinės įrangos tikrinimu ir kai kurie net kalba apie tai, kad ji (klaida) buvo įdiegta arba specialiai, arba ją įdiegė parsidavęs inžinierius ar šnipas. Vienas buvęs žvalgybos karininkas sakė, kad „geriausios saugumo spragos ‘atidarančios duris’ atrodo kaip klaidos“.
Muller atsisakė labiau komentuoti šį incidentą. „Tai yra tiek blogai, kiek jūs tik galite įsivaizduoti“, sakė Johns Hopkins Universiteto kriptografijos profesorius Matthew Green.
Adam Langley iš Google, kuris kovoja su panašiomis problemomis kaip paieškos gigantės inžinierius, savo asmeniniame bloge rašo: „aš tikiu, kad tai tik klaida ir man labai gaila to pro ką ji praslydo“.
Problema yra tame, kaip programinė įranga atpažįsta skaitmeninius sertifikatus kai jungiamasi prie banko sistemų, Gmail, Facebook ir kitų paslaugų, kurios naudoja šifruotą duomenų srautą. Paprasta klaida programiniame kode, tokia kaip praleistos kabutės, gali leisti neautentikuoti SSL sertifikatų visai ir todėl programišiai gali klastoti interneto svetaines ir rinkti visą elektroninį duomenų srautą ar įterpti kenkėjišką kodą į tikrus elektroninius laiškus ir taip turėti galimybę pilnai kontroliuoti kompiuterį.
Tiesa, įsilaužėliai turi turėti prieigą prie aukos interneto tinklo arba per šios paslaugos tiekėją arba per WiFi - pavyzdžiui viešose vietose suteikiamą belaidį internetą.
Pasak ekspertų, ši klaida egzistavo mėnesius, kurie patikrino ir ankstesnes Apple programinės įrangos versijas, tačiau niekas apie šią klaidą nebuvo viešai paskelbęs todėl yra tikimybė, kad arba informaciją apie šią klaidą buvo slepiama ir parduodama programišių arba ja tiesiog niekas nepasinaudojo nes nežinojo. Nors JAV žvalgybos samdinio Edward Snowden dokumentuose minima, kad žvalgybos agentai gali įsilaužti į iPhone ir tai nebuvo iki tol viešai žinoma taip pat.
Apple nesako kada ar kokiu būdu ji sužinojo apie šią klaidą. „Ši problema yra fundamentali klaida Apple SSL įdiegime“, sakė Dmitri Alperovitch vyriausiasis CrowdStrike Inc. inžinierius.
Ši klaida nepasiriboja vien tik Safari naršyklę, ji paveikia ir FaceTime, iMessage, Twitter, Calendar, Keynote, Mail, iBooks, Software Update ir t.t.
Taip pat skaitykite:
• Apple, Google ir Microsoft – skirtingi požiūriai į tuos pačius dalykus
• Apie Apple iOS 7.0.6 ir iOS 6.1.6 atnaujinimus plačiau
• Apple išleido iOS 7.0.6 ir iOS 6.1.6 atnaujinimus