Video: iPhone 7 Softwarefehler beheben (Recovery Modus, DFU) (Dezember 2024)
Apple veröffentlichte iOS 7.06 am späten Freitagnachmittag leise und behebt ein Problem bei der Validierung von SSL-Zertifikaten durch iOS 7. Angreifer können dieses Problem ausnutzen, um einen Man-in-the-Middle-Angriff zu starten und alle Benutzeraktivitäten zu belauschen, warnten Experten.
"Ein Angreifer mit einer privilegierten Netzwerkposition kann Daten in durch SSL / TLS geschützten Sitzungen erfassen oder ändern", sagte Apple in seinem Hinweis.
Benutzer sollten sofort aktualisieren.
Achten Sie auf Lauschangriffe
Wie üblich hat Apple nicht viele Informationen zu diesem Problem bereitgestellt, aber Sicherheitsexperten, die mit der Sicherheitsanfälligkeit vertraut sind, haben gewarnt, dass Angreifer im selben Netzwerk wie das Opfer sichere Kommunikationen lesen können. In diesem Fall kann der Angreifer die Nachrichten abfangen und sogar ändern, wenn sie vom iOS 7-Gerät des Benutzers an gesicherte Sites wie Google Mail oder Facebook oder sogar für Online-Banking-Sitzungen gesendet werden. Das Problem ist ein "grundlegender Fehler in der SSL-Implementierung von Apple", sagte Dmitri Alperovich, CTO von CrowdStrike.
Das Software-Update ist für die aktuelle Version von iOS für iPhone 4 und höher, iPod Touch der 5. Generation und iPad 2 und höher verfügbar. iOS 7.06 und iOS 6.1.6. Der gleiche Fehler existiert in der neuesten Version von Mac OS X, wurde aber noch nicht behoben, schrieb Adam Langley, ein leitender Ingenieur bei Google, in seinem ImperialViolet-Blog. Langley bestätigte, dass der Fehler auch in iOS 7.0.4 und OS X 10.9.1 aufgetreten ist
Die Zertifikatvalidierung ist für die Einrichtung sicherer Sitzungen von entscheidender Bedeutung, da auf diese Weise eine Site (oder ein Gerät) überprüft, ob die Informationen von einer vertrauenswürdigen Quelle stammen. Durch die Validierung des Zertifikats erkennt die Bank-Website, dass die Anforderung vom Benutzer stammt, und ist keine gefälschte Anforderung eines Angreifers. Der Browser des Benutzers verlässt sich auch auf das Zertifikat, um zu überprüfen, ob die Antwort von den Servern der Bank und nicht von einem Angreifer stammt, der in der Mitte sitzt und vertrauliche Kommunikation abfängt.
Geräte aktualisieren
Offenbar sind Chrome und Firefox, die NSS anstelle von SecureTransport verwenden, von der Sicherheitsanfälligkeit nicht betroffen, auch wenn das zugrunde liegende Betriebssystem anfällig ist, so Langley. Er erstellte eine Testseite unter https://www.imperialviolet.org:1266. "Wenn Sie eine HTTPS-Site auf Port 1266 laden können, haben Sie diesen Fehler", sagte Langley
Benutzer sollten ihre Apple-Geräte so bald wie möglich aktualisieren und, wenn das OS X-Update verfügbar ist, auch diesen Patch anwenden. Die Updates sollten in einem vertrauenswürdigen Netzwerk angewendet werden, und Benutzer sollten den Zugriff auf sichere Websites in nicht vertrauenswürdigen Netzwerken (insbesondere Wi-Fi) auf Reisen /
"Setzen Sie auf nicht gepatchten Mobilgeräten und Laptops die Einstellung" Dem Netzwerk beitreten "auf" AUS ", damit keine Aufforderungen zum Herstellen einer Verbindung zu nicht vertrauenswürdigen Netzwerken angezeigt werden", schrieb Alex Radocea, ein Forscher von CrowdStrike.
Angesichts der jüngsten Besorgnis über die Möglichkeit von behördlichem Snooping kann die Tatsache, dass iPhones und iPads Zertifikate nicht korrekt validierten, für einige alarmierend sein. "Ich werde nicht über Details des Apple-Bugs sprechen, außer wie folgt. Es ist ernsthaft ausnutzbar und noch nicht unter Kontrolle", postete Matthew Green, Kryptographieprofessor an der Johns Hopkins University, auf Twitter.