iOS 8 стала жертвой серьёзной уязвимости SSL

Костя А avatar | 7
FavoriteLoading В закладки
iOS 8 стала жертвой серьёзной уязвимости SSL

Конференция по цифровой безопасности RSA прошла в Сан-Франциско и принесла с собой неприятную новость. Apple стала настоящей «антизвездой» этого мероприятия: её продукты не так хорошо защищены, как принято считать.

В презентации компании Skycure, занимающейся безопасностью мобильных устройств, её главный инженер Яир Амит и CEO Ади Шарабани предоставили подробные данные об уязвимости, которую специалисты компании недавно обнаружили в iOS 8.

1

Яир Амит: Однажды во время исследований для демонстрации сетевой атаки мы приобрели новый роутер. После его настройки для функционирования в особом режиме и подключения к нему гаджетов, мы с нашей командой увидели, как некоторые приложения внезапно вылетают. Вскоре другие люди тоже стали замечать вылеты. Довольно быстро мы поняли, что эта ошибка воспроизводится только на iOS.

Насколько серьёзна эта проблема

2

Skycure копнули глубже и поняли, что это больше, чем просто вопрос качества ПО. Компания проанализировала случаи вылетов приложений и нашла источник проблемы. Ошибку удавалось воспроизвести в приложениях, которые используют при обмене данными протокол безопасности SSL: их можно было заставить «вылететь», просто сгенерировав особый SSL-сертификат. О проблеме сообщили в Apple.

Яир Амит: мы быстро написали скрипт, который использовал обнаруженную нами уязвимость по всей сети. SSL — это лучшее, что можно использовать для безопасности передачи данных, и почти все приложения из App Store его используют, поэтому возможностей для атаки оказалось очень много. Мы понимали, что любая задержка в выпуске патчей для этой уязвимости может нанести сильный удар бизнесу, ведь организованная атака на определённые сервисы приведёт к большим финансовым потерям.

Исследование Skycure показало, что уязвимость с тем же успехом действует не только в отдельных приложениях, но и на iOS в целом.

Яир Амит: при интенсивном использовании устройства, подверженного атаке, операционная система также вылетает.

Более того, команде Skycure удалось создать условия, при которых устройства отправлялись в бесконечный цикл перезагрузки, и становились совершенно непригодными к использованию.

Сложный для Apple месяц

Ситуацию прокомментировал Лэйн Темз, специалист по безопасности Tripwire – компании, занимающейся продвинутой защитой от подобных угроз:

Риски, связанные с этой уязвимостью, касаются мобильных устройств, а iOS-устройства легко подключаются к небезопасным Wi-Fi-сетям при минимальном контроле со стороны пользователя. Физически обойти или покинуть зону действия точки доступа Wi-Fi — не самый изящный способ избежать последствий этой уязвимости, но возможно, единственный.

Крейг Янг, другой специалист по безопасности Tripwire, считает, что апрель стал «месяцем уязвимостей» для Apple. К примеру, две недели назад представители компании Евгения Касперского рассказали, что специально построенный IP-пакет может послужить причиной вылетов различных версий iOS и OS X.

Однако не стоит беспокоиться и раньше времени бить тревогу, подыскивая альтернативы любимой ОС. Проблемы iOS — наименьшие на мобильном рынке, и не идут ни в какое сравнение с тем, что творится у конкурентов.
[cio-today]

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
🤓 Хочешь больше? Подпишись на наш Telegramнаш Telegram.
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Конференция по цифровой безопасности RSA прошла в Сан-Франциско и принесла с собой неприятную новость. Apple стала настоящей «антизвездой» этого мероприятия: её продукты не так хорошо защищены, как принято считать. В презентации компании Skycure, занимающейся безопасностью мобильных устройств, её главный инженер Яир Амит и CEO Ади Шарабани предоставили подробные данные об уязвимости, которую специалисты компании недавно...
Прокомментировать

🙈 Комментарии 7

  1. CSRedRat avatar
    CSRedRat27 апреля 2015
    2

    Отстой какой-то..

  2. New_York avatar
    New_York27 апреля 2015
    1

    Без джейлбрека жизнь айфона была бы ошибкой:))

  3. Adventurer avatar
    Adventurer27 апреля 2015
    2

    Вот тут нормальная статья, на других ресурсах была неполная, тут все по полкам объяснили,
    да и молодцы что нашли, в iOS 8.4 подправят данное дело, еще одна уязвимость найдена

  4. RockerMan avatar
    RockerMan27 апреля 2015
    0

    Лучше бы бутром А5+ стал бы жертвой эксплоита. Вот тогда бы было круто

  5. iWolf avatar
    iWolf27 апреля 2015
    1

    Почему нельзя просто вырубить вафлю на айфоне?

  6. kiramid avatar
    kiramid27 апреля 2015
    0

    Skycure – красавцы!)))

  7. muke avatar
    muke27 апреля 2015
    1

    Safari, кстати, до сих пор уязвим к POODLE (SSLv3-уязвимость типа man-in-the-middle) – только что проверил на iOS 8.3

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь