Vídeo: My iPhone "Cannot Verify Server Identity"! Here's The Fix! (Novembro 2024)
A Apple lançou silenciosamente o iOS 7.06 no final da tarde de sexta-feira, corrigindo um problema na forma como o iOS 7 valida os certificados SSL. Os invasores podem explorar esse problema para lançar um ataque intermediário e espionar todas as atividades dos usuários, alertaram especialistas.
"Um invasor com uma posição de rede privilegiada pode capturar ou modificar dados em sessões protegidas por SSL / TLS", afirmou a Apple em seu comunicado.
Os usuários devem atualizar imediatamente.
Cuidado com os bisbilhoteiros
Como de costume, a Apple não forneceu muitas informações sobre o problema, mas especialistas em segurança familiarizados com a vulnerabilidade alertaram que os atacantes na mesma rede que a vítima poderiam ler comunicações seguras. Nesse caso, o invasor pode interceptar e até modificar as mensagens que passam do dispositivo iOS 7 do usuário para sites seguros, como Gmail ou Facebook, ou mesmo para sessões bancárias online. A questão é "um bug fundamental na implementação SSL da Apple", disse Dmitri Alperovich, CTO da CrowdStrike.
A atualização de software está disponível para a versão atual do iOS para iPhone 4 e posterior, iPod Touch de quinta geração e iPad 2 e posterior. iOS 7.06 e iOS 6.1.6. A mesma falha existe na versão mais recente do Mac OS X, mas ainda não foi corrigida, escreveu Adam Langley, engenheiro sênior do Google, em seu blog ImperialViolet. Langley confirmou que a falha também estava no iOS 7.0.4 e OS X 10.9.1
A validação de certificado é crítica no estabelecimento de sessões seguras, pois é assim que um site (ou um dispositivo) verifica se as informações vêm de uma fonte confiável. Ao validar o certificado, o site do banco sabe que a solicitação é proveniente do usuário e não é uma solicitação falsificada por um invasor. O navegador do usuário também conta com o certificado para verificar se a resposta veio dos servidores do banco e não de um invasor sentado no meio e interceptando comunicações confidenciais.
Atualizar dispositivos
Parece que o Chrome e o Firefox, que usam o NSS em vez do SecureTransport, não são afetados pela vulnerabilidade, mesmo que o sistema operacional subjacente seja vulnerável, disse Langley. Ele criou um site de teste em https://www.imperialviolet.org:1266. "Se você pode carregar um site HTTPS na porta 1266, tem esse bug", disse Langley
Os usuários devem atualizar seus dispositivos Apple o mais rápido possível e, quando a atualização do OS X estiver disponível, aplicar esse patch também. As atualizações devem ser aplicadas em uma rede confiável e os usuários devem realmente evitar acessar sites seguros em redes não confiáveis (principalmente Wi-Fi) enquanto viajam /
"Em dispositivos móveis e laptops sem patch, defina a opção 'Ask to Join Networks' como OFF, o que impedirá que eles mostrem avisos para se conectar a redes não confiáveis", escreveu Alex Radocea, pesquisador da CrowdStrike.
Considerando as preocupações recentes sobre a possibilidade de bisbilhotar o governo, o fato de iPhones e iPads não validarem corretamente os certificados pode ser preocupante para alguns. "Não vou falar detalhes sobre o bug da Apple, exceto para dizer o seguinte. É seriamente explorável e ainda não está sob controle", postou no Twitter Matthew Green, professor de criptografia da Universidade Johns Hopkins.