"Известие о серьёзной бреши в информационной защите мобильных устройств Apple получило широкую огласку в пятницу, когда для iOS внезапно стало доступным неотложное обновление.
Но, как выяснилось, проблема затронула не только мобильную систему, но и в целом платформу
Apple SecureTransport, используемую также в настольной OS X. Обнаруженная уязвимость в технологии SecureTransport отражалась на неправильной проверке SSL-сертификатов, в результате чего вредоносное ПО могло перехватить или подменить интернет-трафик, а также произвести подмену банковских сайтов, серверов электронной почты и других защищённых ресурсов.
По словам экспертов, в зоне риска оказались не только браузер Safari, но и любые другие применяющие библиотеку Apple SSL приложения, в том числе FaceTime, Mail и Calendar и прочие ключевые элементы экосистемы Mac, использующие указанный интернет-протокол. Начиная с сентября 2012 года, когда была выпущена iOS 6, брешь появилась на мобильной системе Apple. "Это одна из самых серьёзных ошибок в системах безопасности, которые допускали крупные компании ввиду огромного числа потенциально уязвимых устройств", — сказал специалист Ашкан Солтани (Ashkan Soltani).
Впрочем, масштабы опасности не столь велики, как может показаться. Для использования уязвимости при отключённом SSL-соединении злоумышленникам необходимо находится в радиусе действия передатчика Wi-Fi. Кроме того, на смартфоне или планшете должно быть установлено вредоносное ПО. При этом через интернет-подключение чрезвычайно сложно осуществлять продолжительную слежку. Вследствие этого вероятность использования бреши Агентством национальной безопасности США для массового сбора данных выглядит маловероятной. Однако конкретные пользователи, выбранные в качестве цели, могли пострадать. До установки обновления пользователям рекомендуется не подключаться к публичным сетям Wi-Fi.
Более серьёзный вопрос: почему такая чудовищная уязвимость прошла через все проверки безопасности компании? Уже сейчас некоторые специалисты отмечают, что проблема легко выявляется на этапе отладки кода, и поэтому можно предположить два варианта: либо брешь была внедрена нарочно для каких-то целей, либо в Apple так плохо налажена система выявления ошибок. Один из внутренних источников отмечает, что система безопасности OS X старая и многократно приспосабливалась под различные продукты и нужды. Новый код означает и новые ошибки, которые должны быть выявлены и устранены, что не является большой проблемой, если число разработчиков невелико. Однако в создании SecureTransport участвовали сотни программистов. Впрочем, с выходом OS X Mavericks технология стала открытой, и любой внешний специалист получил возможность выявить ошибочный код. В конце концов проблема была вскрыта специалистом по HTTPS из Google.
Вслед за обновлением iOS, компания выпустила 25 февраля исправление системы безопасности для OS X Mavericks и Mountain Lion, доступное через Software Update. Для Mavericks обновление было выпущено в рамках более крупного, изменившего версию системы на 10.9.2, которое принесло небольшие улучшения в работу Mail, iMessage и Safari и добавило возможность совершать и принимать аудиозвонки FaceTime. Шифровальщик Мэтью Грин (Matthew Green) из Johns Hopkins сообщил, что после выявления данной уязвимости на прошлой неделе, она стала широко использоваться злоумышленниками."
(
Источник)