Video: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (Desember 2024)
Apple diam-diam merilis iOS 7.06 Jumat malam, memperbaiki masalah bagaimana iOS 7 memvalidasi sertifikat SSL. Penyerang dapat memanfaatkan masalah ini untuk meluncurkan serangan man-in-the-middle dan menguping pada semua aktivitas pengguna, para ahli memperingatkan.
"Seorang penyerang dengan posisi jaringan istimewa dapat menangkap atau memodifikasi data dalam sesi yang dilindungi oleh SSL / TLS, " kata Apple dalam penasehatnya.
Pengguna harus segera memperbarui.
Watch Out for Eavesdropper
Seperti biasa, Apple tidak memberikan banyak informasi tentang masalah ini, tetapi pakar keamanan yang akrab dengan kerentanan memperingatkan bahwa penyerang di jaringan yang sama dengan korban akan dapat membaca komunikasi yang aman. Dalam hal ini, penyerang dapat mencegat, dan bahkan memodifikasi, pesan yang mereka sampaikan dari perangkat iOS 7 pengguna ke situs yang aman, seperti Gmail atau Facebook, atau bahkan untuk sesi perbankan online. Masalahnya adalah "bug mendasar dalam implementasi SSL Apple, " kata Dmitri Alperovich, CTO dari CrowdStrike.
Pembaruan perangkat lunak tersedia untuk versi iOS saat ini untuk iPhone 4 dan yang lebih baru, iPod Touch generasi ke-5, dan iPad 2 dan yang lebih baru. iOS 7.06 dan iOS 6.1.6. Cacat yang sama ada di versi terbaru Mac OS X tetapi belum ditambal, Adam Langley, seorang insinyur senior di Google, menulis di blog ImperialViolet-nya. Langley mengkonfirmasi kekurangan itu juga ada di iOS 7.0.4 dan OS X 10.9.1
Validasi sertifikat sangat penting dalam membangun sesi yang aman, karena ini adalah bagaimana suatu situs (atau perangkat) memverifikasi bahwa informasi tersebut berasal dari sumber tepercaya. Dengan memvalidasi sertifikat, situs web bank tahu bahwa permintaan datang dari pengguna, dan bukan permintaan palsu oleh penyerang. Browser pengguna juga bergantung pada sertifikat untuk memverifikasi respons datang dari server bank dan bukan dari penyerang yang duduk di tengah dan menyadap komunikasi sensitif.
Perbarui Perangkat
Tampaknya Chrome dan Firefox, yang menggunakan NSS alih-alih SecureTransport, tidak terpengaruh oleh kerentanan bahkan jika OS yang mendasarinya rentan, kata Langley. Dia menciptakan situs pengujian di https://www.imperialviolet.org:1266. "Jika Anda dapat memuat situs HTTPS pada port 1266 maka Anda memiliki bug ini, " kata Langley
Pengguna harus memperbarui perangkat Apple mereka sesegera mungkin, dan ketika pembaruan OS X tersedia, untuk menerapkan tambalan itu juga. Pembaruan harus diterapkan saat berada di jaringan tepercaya, dan pengguna harus benar-benar menghindari mengakses situs aman saat berada di jaringan yang tidak terpercaya (terutama Wi-Fi) saat bepergian /
"Pada perangkat seluler dan laptop yang tidak ditambal, setel pengaturan 'Tanya untuk Bergabung dengan Jaringan' ke OFF, yang akan mencegah mereka dari menampilkan konfirmasi untuk terhubung ke jaringan yang tidak terpercaya, " tulis Alex Radocea, seorang peneliti dari CrowdStrike.
Mengingat kekhawatiran baru-baru ini tentang kemungkinan pengintaian pemerintah, fakta bahwa iPhone dan iPad tidak memvalidasi sertifikat dengan benar dapat mengkhawatirkan bagi sebagian orang. "Saya tidak akan membicarakan detail tentang bug Apple kecuali untuk mengatakan yang berikut. Ini sangat dapat dieksploitasi dan belum terkendali, " Matthew Green, seorang profesor kriptografi di Universitas Johns Hopkins, memposting di Twitter.