Reacties voor: Apple’s gotofail ssl-bug treft ook apps
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Oh als Ashkan Soltani zegt dat ik mijn telefoon niet meer mag gebruiken dan doe ik dat maar….
Net of die paar dagen dan wat uitmaken op het anderhalf jaar dat het wel mogelijk was.
Gelukkig log ik nooit in op onbeveiligde netwerken 🙂
En als ik nu mijn VPN gebruik op een onbeveiligd netwerk? Ben ik dan wel veilig?
Ja, want nu weet iedereen van het lek in plaats van slechts een handje vol mensen.
De App Store en iTunes Store mag je ook toevoegen aan dat lijstje. Eigenlijk alles wat SSL/TSL gebruikt.
@Mark: Zeker wel, aangezien de bug nu met tekst en uitleg overal op internet te vinden is kan Henk de Thuishekker dit makkelijk misbruiken. Dus ik zou voorzichtig zijn.
@Mats: Ja, en die gaat speciaal op zoek naar jouw iPhone!
@eddiemen: Nee in tegendeel, die gaat lekker in een NS trein zitten en leest gewoon alle wachtwoorden van iedereen tegelijk uit.
Ik ben verheugd te vernemen, dat ook Apple maar gewone kwetsbare systemen maakt en dat de Apple programmeurs er ook een zooitje van maken. Even, echt maar heel even (echt waar!), dacht ik met een perfect Apple systeem te mogen werken. Gelukkig het zijn geen Goden!
Fijn dat gebruikers van iOS 6 weer eens worden genegeerd door Apple. Ik ga echt niet updaten naar iOS 7, zelfs niet voor deze bug.
Ik doe de gotofail-test en die zegt: niets aan de hand
Niet ge-update hier
@Rick: Gebruikers van iOS 6 worden helemaal niet genegeerd, ze hebben iOS 6.1.6 uitgebracht met een fix voor dit probleem.
@Edwin ®: hoe dom kan je zijn….
Ik zal maar gauw je icloud pw veranderen en die update toch maar doorvoeren
@Nils Breunese: Voor de iPhone 3GS en iPod Touch 4e generatie… De iPhone 5 krijgt echt geen iOS 6.1.6. Dat betekent dat miljoenen iOS 6 gebruikers kwetsbaar blijven.
@Rick: Als die iPhone 5 een jailbreak heeft dan installeer de SSLPatch van Ryan Petrich.
Iemand moet zich wel in een (netwerk)positie bevinden om dit uit te kunnen buiten. Aanbieder zijn van een WiFi netwerk biedt je zo’n positie.
Gebruikers moeten sowieso oppassen op onvertrouwde netwerken, aangezien je onversleutelde verkeer dan inzichtelijk is, maar door deze bug krijg je ook geen waarschuwingen meer als iemand je versleutelde SSL sessies man-in-the-middle’d. Eerst een VPN verbinding opzetten zou uitkomst kunnen bieden, zo lang je geen gebruik maakt van een protocol dat afhankelijk is van SSL/TLS.
Via Cydia kun je inmiddels op eerdere firmwareversies dan iOS 7.0.6 ook “SSLPatch” downloaden van de bekende ontwikkelaar @rpetrich, om deze kwetsbaarheid te patchen.
Voor de OSX gebruikers; blijkbaar heeft alleen OSX Maverickx er last van, voorgaande versies niet.
Euh, nu snap ik er niets meer van. iOS 7.0.6 is uitgebracht om het lek te dichten, maar enkel het lek in IOS zelf is gedicht?? En lekken in de apps zijn er nog?
Safari is toch het meest risicvolle gevaar, en hierin zou het lek nog zitten?
Dan vind ik die IOS 7.0.6 maar bullshit hoor.
Als je de patch van @rpetrich installeert (SSLPatch in Cydia), ben je dan ook beschermd bij het gebruik van apps?
Sinds de update van de ios is mijn wifiknop grijs en is de batterij zonder de telefoon 4s te gebruiken in ongeveer 6 uur leeg. Bij eerdere updates las ik dat dat al eerder gebeurd is en werden er voorstellen gedaan om met een fohn de telefoon te verwarmen of een dure reperatie te doen. Zijn er andere oplossingen?
Uit het artikel blijkt niet duidelijk dat zodra het OS gepatcht is dit lek ook voor de applicaties gedicht is.
Het gaat om een bibliotheek die gebruikt is in alle applicaties van Apple en in alle applicaties die WebKit gebruiken.
Dus heb je de iOS update dan zit je goed op je iDevice, heb je een Mac met Mavericks dan ben je daar nu nog kwetsbaar.
Gezien de ernst van deze bug is het zeer kwalijk dat Apple niet gelijktijdig een fix voor Mavericks heeft uitgebracht.
Het is bij alles zo, hoe meer de media ed er aandacht aan schenken, hoe gevaarlijker het wordt.
Ik heb juist het probleem dat sinds of rond de update mijn internet (via 4g) super traag is.
Voor gebruikers van Mac os X nuttig om te weten dat alleen mac os 10.9 (Maverick) deze fout heeft. Oudere OS X versie lijken dit probleem niet te hebben. Ik heb zelf getest met 10.8.5 (de meeste recent 10.8): geen probleem.
[OFF-TOPIC]
Dit is een heel ander probleem. Reset de netwerkinstellingen. Werkt dat niet, dan lijkt t mij handig ff t forum te bezoeken. 😉
[ON-TOPIC]
Of de patch van Petrich ook helpt bij het patchen van 1 of meerdere apps heb ik ook al gevraagd in het betreffende artikel. Ik wacht ook op antwoord 🙂
@belgiumiphone & @Rav3n: de patch van Petrich patcht ook alle standaard en App Store apps. SSLPatch werkt alleen niet op apps uit Cydia die met root rechten draaien zoals Cydia zelf en iFile.
Dat betekent dus dat je met een gerust hart kunt browsen en bankieren, maar alleen software zou moeten updaten/installeren via Cydia op een vertrouwd netwerk. Je kunt natuurlijk ook updaten naar 7.0.6, dan is het dataverkeer van Cydia ook weer beschermd.
De gehele gotofail-bug (CVE 2014-1266) draait om het ingebouwde Security.framework op zowel iOS als OSX. Niet alleen je iPhone, iPod en iPad zijn dus kwetsbaar.
In het deel van het security framework waar deze bug om draait, worden SSL-certificaten goedgekeurd of afgekeurd. Deze bug keurt alle (zelfs de ongeldige) certificaten goed, doordat er een “goto fail;” commando wordt uitgevoerd voor de daadwerkelijke ‘geldigheidscontrole’.
Deze ‘fail’-sequentie in de code ziet vervolgens geen echte fout doorgegeven (aangezien hij niet op een correct punt is aangeroepen), dus keurt het certificaat maar goed.
——
Op de desktop kan je goedgekeurde SSL-certificaten herkennen aan een ‘groen slotje’ in je browser, bijvoorbeeld, iets waar een aantal jaar geleden ook al een heel gezeik mee was doordat Diginotar was gehackt (zusterbedrijf van Vasco)
Op iOS is deze bug opgelost in iOS 7.0.6, dus upgraden is erg belangrijk, aangezien alle apps ook gebruikmaken van dezelfde controles. Deze bug zit er pas een halfjaar in, dus apparaten (zoals oude iPods/iPhones) lager dan iOS 6 hebben geen last van dit beveiligingsprobleem, al is updaten altijd belangrijk.
Voor mensen die OS X Mavericks (10.9 -10.9.1) gebruiken: Ja, ook wij zijn kwetsbaar met onze standaard OS X apps en de meeste AppStore apps. Gebruik hiervoor anders tijdelijk Google Chrome voor je webbrowsing, aangezien deze browser zijn eigen SSL-controles doet, die niet via het ingebouwde systeem lopen.
Jazeker, want nu is juist een leuk timeframe voor kwaadwillende om iOS als doel te zien.
@C.Lown: Opzich wel, alleen is de initiële controle van je SSL certificaat van je VPN ook gevoelig voor deze bug. Als je iemand deze nu zal vervalsen ben je kwetsbaar doordat je verkeer onderschept kan worden (terwijl normaal van tevoren gecontroleerd zou worden of het certificaat wel geldig is). Zolang je zeker weet dat je certificaat geldig is en niet vervalst dmv. hacking etc. is er geen probleem. Als je eenmaal verbonden bent, ben je niet langer kwetsbaar. Dit durf ik echter niet met 100% zekerheid te zeggen.
Klopt. Valt hier dus ook onder.
Dan moet Henk allereerst eens even op jou wifinetwerk terrecht komen, jou ARP-cache spoofen en vervolgens een replica-omgeving opzetten om jou verkeer te sluizen. Dat duurt wel wat langer dan een paar uurtjes.
Daar heeft dit niks mee te maken. De certificaten worden nog steeds gebruikt, dus de beveiliging is er nog. Alleen de controle van de geldigheid van certificaten weg, wat opzich wel een probleem is maar niet zo extreem. Verder zijn de NS Hotspots in quarantaine opgenomen, dus niemand kan elkaars IP-address intern benaderen.
Normaal gaat dit ook altijd goed. Zelfs security-experts staan ervan te kijken. Grote kans dat dit weer een NSA-geintje is wat onder ‘Project DROPOUTJEEP‘ valt.
@belgiumiphone: iPhoneclub heeft de tweet van @ashk4n niet duidelijk genoeg uitgelegd IMO, de hele eerste alinea klinkt namelijk alsof de bug in iOS niet is opgelost.
Die tweet gaat namelijk over OS X. Zoals later in het artikel is vermeld is de bug in iOS opgelost in de meest recente update en ‘zijn alle iOS apps die hiervoor gevoelig waren weer veilig’. Het is letterlijk 1 regel code dat hiervoor verantwoordelijk is.
als ik mijn iphone 5 herstel met dus 7.0.6 kan ik dan wel mijn reserve kopie terug zetten of is dat niet verstandig?
Nee, die paar dagen maakt niet uit, maar nu de exploit wijd bekend is, zal er ook meer actief misbruik van worden gemaakt. Zeker zaak om snel te updaten dus