23 февраля 2014

Срочно! Критический баг в iOS и Mac OS X

Угрозы

В минувшую пятницу компания Apple выпустила срочное обновление для iOS версий 6 и 7. По сути, внеочередной апдейт состоял всего из одного фикса, который, впрочем, стоит того, чтобы поторопиться с обновлением. Причем чем скорее, тем лучше.

Уязвимость в SSL/TLS

Как говорится в пояснении, апдейт «устраняет проблему, возникавшую при проверке SSL-подключения». За столь пространной и безобидной формулировкой в действительности стоит довольно серьезная штука: исправляемая ошибка позволяет злоумышленникам, находящимся в одной сети с вами, перехватывать и модифицировать данные сессий, защищенных криптографическими протоколами SSL/TLS. Проще говоря, если вы воспользовались какой-нибудь публичной Wi-Fi-сетью (например, в аэропорту или кафе) для доступа в онлайн-банкинг, сервис Gmail или даже Facebook, находящийся в той же сети злоумышленник при определенной сноровке может «прослушать» отсылаемую с вашего устройства информацию. Причем браузер Safari будет предательски показывать тот самый маленький закрытый замочек, означающий, что ваша сессия зашифрована и, стало быть, защищена. Более того, уязвимость актуальна не только для браузера, но и практически для любой другой программы. Так что компанию Apple, так поторопившуюся с выпуском обновления, можно понять.

Последние несколько дней многочисленные эксперты ломали головы над природой данной уязвимости и выяснили две любопытные вещи: во-первых, баг был вызван глупейшей ошибкой программиста (продублировалась одна из строчек кода), а во-вторых, тот же самый баг присутствует и в Mac OS X! Соответствующий патч для операционки уже вышел и доступен для установки.

Наши рекомендации:

  • Обновить все имеющиеся у вас iPhone, iPod и iPad с установленной на них iOS 6/7. Причем лучше всего это сделать в доверенной сети: дома или на работе, например.
  • До обновления не использовать с устройства сервисы онлайн-банкинга и другие подобные ресурсы. Это касается девайсов на базе как iOS, так и Mac OS X.
  • Если же обновиться по какой-то причине не получается, а воспользоваться, например, банковским онлайн-сервисом нужно, делайте это исключительно в доверенной сети и с применением дополнительных средств: браузера Google Chrome, VPN-соединения и надежного антивирусного ПО.