Om du inte redan gjort det, uppdatera omgående operativsystemet på din iPryl, samt sluta använda Safari på Mac OSX tills vidare.
Apple har lyckats få in en rätt allvarlig bygg i sin tillämpning av krypteringsprotokollet SSL, som bl a används när man anropar krypterade websidor, men också kan användas när man kopplar upp sig krypterat för att läsa mail eller andra tjänster med krypterad överföring.
På Mac-datorernas operativsystem OSX omfattas bland annat Safari och Mail.app, samt i princip hela iOS, inklusive anrop till iCloud mm, omfattas.
Sårbarheten innebär att man kan utsättas för en man-in-the-middle-attack. Någon med kontroll över det lokala nätverket, t ex nätägaren eller förslagna hackers vid ett öppet Wifinät, din lokale snälle systemoperatör på din arbetsplats mfl, kan dirigera om trafik avsedd för t ex Googles mailtjänster, din Internetbank etc, till en egen server, som sedan kopplar sig vidare till den riktiga servern och däremellan läser all den trafik du trodde var krypterad.
Normalt ska sk certifikat göra att du märker om du kopplat upp dig mot fel server och är utsatt för en man-in-the-middle-attack, men med en enda rad kod i Apples tillämpning har detta brutits. Apple lägger ut denna kod på sin webplats för öppen källkod, då OSX och iOS delvis bygger på öppen källkod. Koden har legat där, synlig, men först upptäckts nu. Lite pikant är att denna enda kodrad dök upp samtidigt som Apple sägs ha tecknat avtal med NSA för att låta amerikanska staten få tillgång till Apples molntjänster på serversidan, det sk PRISM, avslöjat via Edward Snowden.
Nu när “buggen” pekats ut offentligt har man förstås inget annat val än att täppa till den.
Samtidigt visar detta på fördelen med Open Source, dvs att andra kan granska och upptäcka fel, men det visar också att det kan ta mycket lång tid innan fel i öppen källkod upptäcks.
Buggen är smått genialisk i att det är ett infogande av en enkel kodrad som orsakar det hela, och den avslöjades endast med noggrann granskning.
Apple har ännu inte fixat OSX, så lämpligen slutar man använda OSX webläsare Safari tills vidare, eventuellt även Mail-programmet, om man kopplar upp sig med SSL och TSL.
10 kommentarer
"Buggen" verkar också vara en sådan typisk grej som kan inträffa om man får en konflikt i en fil med versionshanteringssystemet.
Fast det är klart. Om man la i byggen med vilje så såg man väl till att göra det på ett sådant sätt att det enkelt skulle kunna bortförklaras med att det skett av misstag.
Detta är också en stor vinst för "fiskmåsfolket".
Buggen täpptes till i Fredags, så det är bara att uppdatera med senaste. Dock är det bra att den uppmärksammas så att folk får chansen att agera. Apple verkade försöka mörka den.
"The issue is an extra line of “goto” code that bypasses the iOS system’s authentication process, allowing a third party to intercept emails and Internet traffic."
goto! skrämmande!
@Jaha Dåså
"Dock är det bra att den uppmärksammas så att folk får chansen att agera. "
Jo, men frågan är när den uppmärksammades och av vem – eftersom koden tydligen funnits publicerad så kan det ju vara så att tredjepart kan ha uppmärksammat buggen tidigare…
Vem använder Safari som webbläsare idag?
Nedanstående raderade kommentarer var dubbelpostningar som min webbläsare lyckades åstadkomma.. kanske skulle man kört safari ändå 😛
Man har ju rent mjöl i påsen…
På iOS är det den som är överlägset snabbast, pga begräsningar som Apple har på tex Chrome
Den här kommentaren har tagits bort av skribenten.
Den här kommentaren har tagits bort av skribenten.
Den här kommentaren har tagits bort av skribenten.