Nieuws
image

Apple-gebruikers gewaarschuwd voor updaten via wifi-netwerk

zondag 23 februari 2014, 09:26 door Redactie, 5 reacties

Apple gebruikers zijn gewaarschuwd om niet via onbetrouwbare wifi-netwerken hun software en systeem te updaten, aangezien een aanvaller kwaadaardige updates zou kunnen aanbieden. Daarvoor waarschuwen twee onderzoekers nadat Apple een ernstig lek in iOS bekendmaakte.

Volgens de onderzoekers speelt het probleem niet alleen bij iOS, maar lopen ook Mac-gebruikers risico. Vrijdag kwam Apple opeens met een update voor iOS en Apple TV. Er bevond zich een beveiligingslek in iOS waardoor kwaadwillenden de met SSL-beveiligde verbindingen van iPhone- en iPad-gebruikers konden afluisteren. Het probleem werd veroorzaakt doordat de authenticiteit van de verbinding niet werd gecontroleerd.

Hierdoor zou een aanvaller zich tussen de gebruiker en een website of internetdienst kunnen plaatsen, om vervolgens het verkeer te onderscheppen zonder dat de gebruiker gewaarschuwd zou worden. Apple liet in de beveiligingsbulletins weten dat het probleem is verholpen door de ontbrekende controles weer te herstellen. Dat suggereert dat de controles er eerst wel waren.

Noodpatch

Volgens Alex Radocea van beveiligingsbedrijf CrowdStrike gaat het om noodpatches van Apple. Radocea onderzocht de iOS-patches en stelt dat hetzelfde probleem ook in Mac OS X aanwezig is. Hij verwacht dat Apple dan ook snel met een update voor dit platform zal komen. De onderzoeker laat verder weten dat het probleem verder gaat dan alleen het afluisteren van de internetverbinding. Veel automatische updatetools van programma's maken via SSL verbinding. In dit geval zou een aanvaller die zich tussen de gebruiker en het internet plaatst een kwaadaardige update met malware kunnen verspreiden, zonder dat de updatetool dit merkt.

Als extra beveiliging controleren sommige updatetools de geldigheid van een aangeboden update, maar niet allemaal. Zo bleek onlangs dat de populaire Android-ROM CyanogenMod deze controle niet uitvoert. Radocea adviseert gebruikers van een Apple-toestel om de beschikbare updates zo snel als mogelijk te installeren, maar dit niet via onbetrouwbare wifi-netwerken te doen. Op ongepatchte mobiele toestellen en laptops moeten gebruikers dan ook de "Ask to Join Networks" optie uitschakelen. Dit voorkomt dat er een pop-up verschijnt die vraagt om met onbetrouwbare wifi-netwerken verbinding te maken.

Onderzoeker Adam Langley merkt op dat gebruikers van Firefox en Google Chrome op een Apple-toestel minder risico lopen, aangezien de browsers de SSL-verbiding niet via het kwetsbare onderdeel van Apple opzetten. Ook Langley waarschuwt dat dit weinig uitmaakt als de updatetools op het systeem wel via het kwetsbare onderdeel verbinding maken en een aanvaller het systeem op die manier alsnog kan aanvallen.

Aan de hand van zijn eigen analyse denkt Langley dat het probleem waarschijnlijk in Mac OS X 10.9 is geïntroduceerd en in verschillende versies van iOS 6 aanwezig is geweest totdat Apple het vrijdag patchte. Tegenover persbureau Reuters laat Apple weten dat het snel met een update voor Mac OS X zal komen.

Reacties (5)
23-02-2014, 10:04 door Briolet
Dat suggereert dat de controles er eerst wel waren.
.
Verderop staat ook dat reseachers tot die conclusie kwamen:

..het probleem waarschijnlijk in Mac OS X 10.9 is geïntroduceerd...

En in de 'Reuters' link lees ik zelfs de speculatie:

The flaw is so odd in retrospect that researchers faulted Apple for inadequate testing and some speculated that it had been introduced deliberately, either by a rogue engineer or a spy. Former intelligence operatives said that the best "back doors" often look like mistakes.
23-02-2014, 16:03 door Briolet
Het verhaal uit de 'Adam Langley' link geeft precies aan wat de bug in de code is. Een heel klassieke bug, die je beter detecteert als je consequent het 'DO' deel va een 'IF' statement tussen accolades zet. Dit soort bugs komt mij in elk geval erg bekend voor uit eigen werk......
23-02-2014, 20:01 door Anoniem
Apple,moet dit probleem gewoon oplossen in OSX Maverics 10.9.2
Ik hoop dan ook dat dat gebeurd.
Deze serviceupdate voor OSX Maverics is nog niet uit,dus voordat hij uitkomt kunnen ze deze gemelde bug nog verhelpen in die update.
23-02-2014, 20:22 door Anoniem
Een beetje compiler zou daar een warning op geven. Een beetje ontwikkelafdeling zou die warning onderzoeken.
Maar ja een beetje ontwikkelafdeling zou ook werkende datum/tijd routines kunnen produceren die niet regelmatig
weer gezeur geven op nieuwjaarsdag of met een schrikkeljaar.
De ontwikkelafdeling van Apple is daar niet toe in staat, helaas.
24-02-2014, 05:43 door Anoniem
Deze onderzoekers weten niet goed waar ze het over hebben. Je kunt een aangepaste firmware niet installeren op een iDevice, omdat signatures daarvoor vanaf de bootrom worden gecontroleerd (chain of trust). Dat Apple faalt met het verifieren van SSL signatures in userland doet daar niets aan af. Worst case scenario voor updaten van iOS over WiFi is dus dat.. Het niet lukt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search