Video: iOS 15 УБЬЁТ iPhone 6s, SE и 7? (Noviembre 2024)
Apple lanzó silenciosamente iOS 7.06 el viernes por la tarde, solucionando un problema en cómo iOS 7 valida los certificados SSL. Los atacantes pueden explotar este problema para lanzar un ataque man-in-the-middle y espiar toda actividad de los usuarios, advirtieron los expertos.
"Un atacante con una posición de red privilegiada puede capturar o modificar datos en sesiones protegidas por SSL / TLS", dijo Apple en su aviso.
Los usuarios deben actualizar de inmediato.
Cuidado con los espías
Como de costumbre, Apple no proporcionó mucha información sobre el problema, pero los expertos en seguridad familiarizados con la vulnerabilidad advirtieron que los atacantes en la misma red que la víctima podrían leer comunicaciones seguras. En este caso, el atacante podría interceptar, e incluso modificar, los mensajes a medida que pasan del dispositivo iOS 7 del usuario a sitios seguros, como Gmail o Facebook, o incluso para sesiones bancarias en línea. El problema es un "error fundamental en la implementación SSL de Apple", dijo Dmitri Alperovich, CTO de CrowdStrike.
La actualización de software está disponible para la versión actual de iOS para iPhone 4 y posterior, iPod Touch de quinta generación y iPad 2 y posterior. iOS 7.06 y iOS 6.1.6. El mismo defecto existe en la última versión de Mac OS X, pero aún no ha sido reparado, escribió Adam Langley, un ingeniero senior en Google, en su blog ImperialViolet. Langley confirmó que la falla también estaba en iOS 7.0.4 y OS X 10.9.1
La validación de certificados es crítica para establecer sesiones seguras, ya que así es como un sitio (o un dispositivo) verifica que la información proviene de una fuente confiable. Al validar el certificado, el sitio web del banco sabe que la solicitud proviene del usuario y no es una solicitud falsificada de un atacante. El navegador del usuario también se basa en el certificado para verificar que la respuesta provino de los servidores del banco y no de un atacante sentado en el medio e interceptando comunicaciones confidenciales.
Actualizar dispositivos
Parece que Chrome y Firefox, que usan NSS en lugar de SecureTransport, no se ven afectados por la vulnerabilidad, incluso si el sistema operativo subyacente es vulnerable, dijo Langley. Creó un sitio de prueba en https://www.imperialviolet.org:1266. "Si puede cargar un sitio HTTPS en el puerto 1266, entonces tiene este error", dijo Langley
Los usuarios deben actualizar sus dispositivos Apple lo antes posible, y cuando la actualización OS X esté disponible, para aplicar ese parche también. Las actualizaciones deben aplicarse mientras se encuentra en una red confiable, y los usuarios realmente deben evitar acceder a sitios seguros mientras están en redes no confiables (especialmente Wi-Fi) mientras viajan /
"En dispositivos móviles y portátiles no parcheados, configure la opción 'Solicitar unirse a redes' en OFF, lo que evitará que muestren indicaciones para conectarse a redes no confiables", escribió Alex Radocea, investigador de CrowdStrike.
Teniendo en cuenta las preocupaciones recientes sobre la posibilidad de espiar por parte del gobierno, el hecho de que los iPhones y los iPads no validaran los certificados correctamente puede ser alarmante para algunos. "No voy a hablar de detalles sobre el error de Apple, excepto para decir lo siguiente. Es muy explotable y aún no está bajo control", publicó en Twitter Matthew Green, profesor de criptografía de la Universidad Johns Hopkins.
