보안 감시 Apple, iOS 7의 기본 SSL 버그 수정

Apple, iOS 7의 기본 SSL 버그 수정

비디오: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (12 월 2024)

비디오: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (12 월 2024)
Anonim

Apple은 금요일 오후 늦게 iOS 7.06을 출시하여 iOS 7에서 SSL 인증서의 유효성을 검사하는 방식의 문제를 해결했습니다. 전문가들은이 문제를 악용하여 중간자 공격을 시작하고 모든 사용자 활동을 도청 할 수 있다고 전문가들은 경고했다.

"권한이있는 네트워크 위치를 가진 공격자는 SSL / TLS로 보호되는 세션에서 데이터를 캡처하거나 수정할 수 있습니다."라고 Apple은 말했습니다.

사용자는 즉시 업데이트해야합니다.

도청 조심

평소와 같이 Apple은이 문제에 대해 많은 정보를 제공하지 않았지만이 취약점에 익숙한 보안 전문가는 피해자와 동일한 네트워크에있는 공격자가 보안 통신을 읽을 수 있다고 경고했습니다. 이 경우 공격자는 사용자의 iOS 7 장치에서 Gmail 또는 Facebook과 같은 보안 사이트로 또는 온라인 뱅킹 세션으로 전달되는 메시지를 가로 채거나 수정할 수 있습니다. 크라우드 스트라이크의 CTO 인 드미트리 알 페로 비치 (Dmitri Alperovich)는“이 문제는 애플의 SSL 구현에있어 기본적인 버그”라고 말했다.

소프트웨어 업데이트는 iPhone 4 이상, 5 세대 iPod Touch 및 iPad 2 이상용 현재 iOS 버전에서 사용 가능합니다. iOS 7.06 및 iOS 6.1.6. 최신 버전의 Mac OS X에도 같은 결함이 있지만 아직 패치되지 않았습니다. Google의 수석 엔지니어 인 Adam Langley는 ImperialViolet 블로그에 썼습니다. Langley는 결함이 iOS 7.0.4 및 OS X 10.9.1에도 있음을 확인했습니다.

보안 세션을 설정하려면 인증서 유효성 검사가 중요합니다. 이는 사이트 (또는 장치)가 정보가 신뢰할 수있는 출처에서 온 것임을 확인하는 방법입니다. 은행 웹 사이트는 인증서의 유효성을 검사하여 요청이 사용자에게서 오는 것으로 알고 있으며 공격자가 스푸핑 한 요청이 아닙니다. 또한 사용자 브라우저는 인증서를 사용하여 은행 서버에서 응답을 받았는지 확인합니다. 공격자는 중간에 앉아 민감한 통신을 가로 채지 않습니다.

장치 업데이트

Langley는 SecureTransport 대신 NSS를 사용하는 Chrome과 Firefox는 기본 OS가 취약하더라도 취약점의 영향을받지 않는 것으로 보입니다. 그는 https://www.imperialviolet.org:1266에 테스트 사이트를 만들었습니다. 랭글리는 "포트 1266에서 HTTPS 사이트를로드 할 수 있다면이 버그가있다"고 말했다.

사용자는 가능한 빨리 Apple 장치를 업데이트하고 OS X 업데이트가 사용 가능한 경우 해당 패치도 적용해야합니다. 업데이트는 신뢰할 수있는 네트워크에있는 동안 적용해야하며, 사용자는 여행 / 여행 중에 신뢰할 수없는 네트워크 (특히 Wi-Fi)에있는 동안 보안 사이트에 액세스하지 않아야합니다.

크라우드 스트라이크의 연구원 인 알렉스라도 키아 (Alex Radocea)는“패치가없는 모바일 및 랩톱 장치에서 '네트워크에 연결 요청'설정을 OFF로 설정하면 신뢰할 수없는 네트워크에 연결하라는 메시지가 표시되지 않습니다.

정부 스누핑 가능성에 대한 최근 우려를 고려할 때 iPhone 및 iPad가 인증서의 유효성을 올바르게 검사하지 않았다는 사실이 일부 경고 일 수 있습니다. 존스 홉킨스 대학교 (Johns Hopkins University)의 암호 교수 인 매튜 그린 (Matthew Green)은 트위터에 다음과 같이 말했다.

Apple, iOS 7의 기본 SSL 버그 수정