目次:
他の多くの脆弱性と同様に、すべてコードのエラーから始まりました。 私たちが話しているSSL / TLSの脆弱性は深刻です。 Verge氏は、この欠陥は18か月後から存在しており、それがAppleデバイスへのアクセスを取得するためにNSAによって使用される可能性があると言っているまでにも達しています。
これがアップルによる説明です。
影響:特権のあるネットワークポジションを持つ攻撃者は、SSL / TLSによって保護されたセッションでデータをキャプチャまたは変更する可能性がある。
素人の言葉で言うと、Safari、Appleアプリ、およびiOSとMacでApple独自のSSLシステムを使用するサードパーティ製のアプリとの間で送受信されるデータは暗号化されていないということです。
正確に何が間違っていましたか?
SSL(Secure Sockets Layer)とTSL(Transport Layer Security)は、コンピュータとサーバーの間に安全で暗号化された接続を確立する一連のテクノロジです。 コードのエラーにより、このプロセスの署名検証部分が失敗しました。
つまり、システムはセキュリティ証明書が安全かどうかを確認できますが、誰が証明書に署名したかを確認することはできません。 そしてそれは、偽造された署名要求が問題なくシステムを通過できることを意味します。
SSLのバグにより、ハッカーがAppleのSSLシステムを暗号化に使用するアプリケーションを使用するときに、ユーザー名、パスワード、クレジットカード情報などの機密情報に簡単にアクセスできるようになります。
このプロセスについてもっと技術的な説明が欲しいなら、Adam LangleyとAshkan Soltaniによるブログ記事をチェックしてください。
更新してください
このバグは、iOS 6からiOS 7.0.5、Apple TVおよびOS X Mavericksの間のiOSデバイスに影響します。 Appleはそのユーザーのために以下のアップデートをプッシュしました。
iOS用のアップデート
iOS 7ユーザー向けのiOS 7.0.6アップデート。
iOS 6ユーザー向けのiOS 6.1.6アップデート。
Apple TVの所有者向けのiOS 6.0.2アップデート。
Mac用のアップデート
Mavericks用のOS X 10.9.2アップデート。
あなたがこれらのバージョンのどれにも最新でないならば、あなたは 速く その更新ボタンを押す必要があります。 私のデバイスが脱獄された場合はどうしますか? 私たちはあなたにも解決策を持っています。
脱獄者のためのソリューション
あなたのiPhoneまたはiPadが脱獄されたなら、あなたは運がいいです。 この脆弱性を修正するためにiOSをアップデートする必要はありません。 CydiaからRyan Petrichによる調整をインストールするとうまくいくでしょう。 これがあなたがそうすることができる方法です。
ステップ1: [管理] に移動し、 [編集] をタップしてから [追加]を タップします。
ステップ2:テキストフィールドにこのURLを追加します - http://rpetri.ch/repoそして Add Source をタップします
ステップ3:これで 、Ryanのレポに加入しました。 Cydiaに戻り、 「検索」 をクリックして SSLPatch を検索し ます 。
ステップ4:今すぐ インストール をクリックし、次に 確認 を選択します。 パッチがインストールされます。 プロンプトが表示され たら、 [デバイスの再起動]を クリックします。
微調整が正しくインストールされ正しく機能していることを確認するには、gotofail.comにアクセスしてください。「Safe」と表示されます。
トップ画像のクレジット:Martin Abegglen