Apple byl minulý týden upozorněn na chybu, která umožňovala úročníkům nabourat se do šifrované konfigurace. Původní varování, které se vztahovalo na mobily, tablety a další zařízení s operačním systémem iOS se rozšířilo i na počítačový OS X. Problém byl totiž v platformě Apple SecureTransport a mohl být zneužíván řadu měsíců.
Nejdříve byla zveřejněna oprava na iOS a několik dní tak byli uživatelé v nejistotě, zda bude oprava zveřejněna na jejich OS X zařízení. Nakonec se dočkali na začátku tohoto týdne. Apple pro jistotu vydal rovnou update s označením OS X 10.9.2, který opravuje i další problémy operačního systému OS X a navíc přidává některá vylepšení, jako je třeba podpora audiohovorů ve FaceTime nebo blokace příchozích zpráv přes iMessage od vybraných uživatelů.
Vraťme se ale k chybě, která byla způsobena špatnou kontrolou certifikátů, což umožnilo útočníkům nabourat se do komunikace mezi koncovým zařízením a servery. V konečném důsledku tak mohli útočníci například zachytávat hesla. V praxi to mohlo vypadat tak, že jste se pomocí zabezpečeného protokolu SSL připojili ke svému e-mailu nebo do internetového bankovnictví, ale chyba SecureTransport toto bezpečné připojení správně nehlídala. Respektive nehlídala správně certifikát, pomocí kterého se potvrzuje identita serveru. Útočník tak mohl certifikát podvrhnout a simulovat připojení k e-mailu, bance a jiným službám. Problém postihl především prohlížeč Safari, ale nevyhnul se ani programům a aplikacím FaceTime, Mail, Calendar a dalším.
Riziko útoku podle serveru MacRumors částečně snižoval fakt, že útočník musel být na stejné drátové, či bezdrátové síti, jako napadený. Což mohlo být třeba v internetové kavárně.
Nový problém na obzoru
Jen co Apple zveřejnil opravu, objevily se informace o dalším problému. Ten má podle bezpečnostní firmy FireEye umožnit podvodným aplikacím sledovat a nahrávat chování uživatele, respektive zaznamenávat stisky virtuálních kláves na iOS zařízeních. Používá k tomu souřadnicovou metodu, kdy určí, která klávesy byla stisknuta podle místa doteku.
Firma přitom tvrdí, že dokázala obejít kontrolní proces Applu, který má hlídat nahrávání neautorizovaných aplikací do systému. Útočníkovi pak stačí přinutit nějakým nenápadným způsobem, aby si uživatel aplikaci nainstaloval.
Než Apple chybu opraví, firma doporučuje hlídat si spuštěné aplikace a zavírat ty, které uživatel nepotřebuje.
Opravoval i Microsoft
Stejná firma, tedy FireEye, upozornila již dříve v tomto měsíci na chybu postihující Internet Explorer ve verzi 9 a 10, kterou stále ještě používá řada uživatelů. Chyba byla dokonce již zneužita na stránkách nadace amerických veteránů a webu francouzské organizace GIFAS, která sdružuje firmy zabývající se letectvím i raketovou technikou.
Každý, kdo tyto stránky navštívil s nezabezpečeným prohlížečem, se tak stal potenciální obětí útočníků. Microsoft zamezil chybě pomocí systému Fix it a zároveň doporučil přejít na nejnovější verzi prohlížeče, což znamená Internet Explorer 11. Komplexní opravy se uživatelé patrně dočkají až 11. března v rámci standardně plánovaného záplatovacího druhého úterý v měsíci.
