Vidéo: How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6 - iPhone Hacks (Novembre 2024)
Apple a publié tranquillement iOS 7.06 tard vendredi après-midi, corrigeant un problème concernant la validation des certificats SSL par iOS 7. Les experts peuvent mettre à profit ce problème pour lancer une attaque d'infiltration et écouter toutes les activités des utilisateurs, ont averti les experts.
"Un attaquant ayant une position réseau privilégiée peut capturer ou modifier des données dans des sessions protégées par SSL / TLS", a déclaré Apple dans un avis.
Les utilisateurs doivent mettre à jour immédiatement.
Attention aux oreilles perdues
Comme d'habitude, Apple n'a pas fourni beaucoup d'informations sur le problème, mais des experts en sécurité familiarisés avec cette vulnérabilité ont averti que les attaquants du même réseau que la victime seraient en mesure de lire des communications sécurisées. Dans ce cas, l'attaquant pourrait intercepter, voire modifier, les messages lors de leur transfert du périphérique iOS 7 de l'utilisateur vers des sites sécurisés, tels que Gmail ou Facebook, ou même pour des sessions bancaires en ligne. Le problème est un "bug fondamental dans l’application SSL d’Apple", a déclaré Dmitri Alperovich, CTO de CrowdStrike.
La mise à jour logicielle est disponible pour la version actuelle d'iOS pour iPhone 4 et versions ultérieures, iPod Touch de 5e génération et iPad 2 et versions ultérieures. iOS 7.06 et iOS 6.1.6. Le même défaut existe dans la dernière version de Mac OS X mais n'a pas encore été corrigé, a écrit Adam Langley, ingénieur en chef chez Google, sur son blog ImperialViolet. Langley a confirmé que la faille se trouvait également dans iOS 7.0.4 et OS X 10.9.1
La validation de certificat est essentielle pour établir des sessions sécurisées, car c'est ainsi qu'un site (ou un périphérique) vérifie que les informations proviennent d'une source approuvée. En validant le certificat, le site Web de la banque sait que la demande provient de l'utilisateur et ne constitue pas une demande usurpée par un attaquant. Le navigateur de l'utilisateur s'appuie également sur le certificat pour vérifier que la réponse provient des serveurs de la banque et non d'un attaquant situé au milieu et interceptant des communications sensibles.
Mise à jour des appareils
Il apparaît que Chrome et Firefox, qui utilise NSS au lieu de SecureTransport, ne sont pas affectés par la vulnérabilité, même si le système d'exploitation sous-jacent est vulnérable, a déclaré Langley. Il a créé un site de test à l'adresse https://www.imperialviolet.org:1266. "Si vous pouvez charger un site HTTPS sur le port 1266, vous avez ce bogue", a déclaré Langley.
Les utilisateurs doivent mettre à jour leurs périphériques Apple dès que possible et, lorsque la mise à jour OS X est disponible, appliquer également ce correctif. Les mises à jour doivent être appliquées sur un réseau approuvé, et les utilisateurs doivent vraiment éviter d'accéder à des sites sécurisés sur des réseaux non fiables (notamment le Wi-Fi) lorsqu'ils se déplacent /
"Sur les appareils mobiles et portables non corrigés, définissez le paramètre" Demander à joindre les réseaux "sur OFF, ce qui les empêchera d’afficher des invites pour se connecter à des réseaux non fiables", a écrit Alex Radocea, un chercheur de CrowdStrike.
Compte tenu des préoccupations récentes quant à la possibilité que le gouvernement surveille de près, le fait que les iPhone et les iPad ne valident pas correctement les certificats peut être alarmant pour certains. "Je ne parlerai pas en détail du bogue Apple, sauf pour dire ce qui suit. Il est sérieusement exploitable et n'est pas encore sous contrôle", a déclaré sur Twitter Matthew Green, professeur de cryptographie à l'université Johns Hopkins.
