Apple’s gotofail ssl-bug treft ook apps

Apple bracht afgelopen vrijdag een update uit naar iOS 7.0.6, waarmee een ernstig ssl-lek wordt gedicht. Maar volgens security-onderzoeker Ashkan Soltani zijn ook Safari, FaceTime, Keynote, iBooks, Mail en Agenda gevoelig voor de bug. Ze raden daarom aan de genoemde apps niet langer te gebruiken, totdat Apple een fix heeft uitgebracht. Inmiddels is wel duidelijk geworden dat het om een groot lek gaat, dat onder beveiligingsonderzoekers de naam gotofail heeft gekregen, vanwege het feit dat een onjuist goto-commando de trigger vormt.

Het ssl-probleem kwam aan het licht door iOS 7.0.6, waarbij Apple melding maakte van een ssl-fix. Dat zorgde ervoor dat beveilingsonderzoekers verder gingen kijken en ontdekten dat het probleem al sinds iOS 6.0 aanwezig is. Aanvallers kunnen al anderhalf jaar beveiligde ssl-verbindingen afluisteren, door een man-in-the-middle-aanval uit te voeren. Dit kon bijvoorbeeld plaatsvinden tijdens het inloggen op een onbeveiligd draadloos netwerk in een café. De communicatie was weliswaar beveiligd met ssl, maar Apple controleerde de authenticiteit van de verbinding niet afdoende met tls. Technische details over de ssl/tls-bug vind je hier.

Voor iOS is de gotofail-bug dus opgelost, maar voor OS X moet er nog een update verschijnen. Apple heeft beloofd die “zeer binnenkort” te gaan leveren. Hierboven zie je de lijst die beveiligingsonderzoeker Ashkan Soltani maakte. Hij geeft aan dat apps zoals iMessage en FaceTime al extra beveiligingsmaatregelen bevatten, waardoor ze minder kwetsbaar zijn. Maar die maatregelen hebben weinig zin als het iCloud-wachtwoord waarmee je inlogt bij deze apps makkelijk te onderscheppen is. Ook de communicatie tussen diensten en apparaten moet worden verbeterd. Via de website gotofail.com in Safari kun je de kwetsbaarheden checken. Tot dat moment raadt CrowdStrike aan om niet in te loggen op open en onbeveiligde netwerken. En heb je nog geen update naar iOS 7.0.6 geïnstalleerd, dan is het hoog tijd om dat te doen.