image

Speculatie over gebruik van SSL-lek in iPhones door NSA

zondag 23 februari 2014, 11:12 door Redactie, 6 reacties

Het SSL-lek in iPhones en iPads waardoor het internetverkeer van gebruikers kon worden afgeluisterd en waarvoor vrijdag een patch verscheen is al sinds september 2012 aanwezig en zou mogelijk sinds die tijd door de NSA zijn gebruikt, zo speculeert een bekende Apple-volger.

Vrijdag kwam Apple met een update voor het probleem. Volgens beveiligingsonderzoeker Jeffrey Grossman is het probleem in iOS 6.0 geïntroduceerd. Deze versie verscheen op 24 september 2012. En die datum komt overeen met een slide over het PRISM-programma van de NSA. Volgens de slide zou Apple in oktober 2012 aan PRISM zijn "toegevoegd", meldt Apple-volger John Gruber van het blog Daring Fireball.

Hij merkt op dat de twee data nog niets bewijzen. Ook de oorsprong van de bug kan een ongelukkige fout van een programmeur zijn geweest. Toch stelt Gruber dat de NSA niet veel moeite moest doen om het SSL-lek te vinden. Een aantal geautomatiseerde tests met vervalste certificaten die met elke nieuwe versie van een besturingssysteem worden uitgevoerd zouden volstaan. In dit geval zou het probleem in iOS meteen zijn opgevallen en kon Apple aan PRISM worden "toegevoegd".

Gruber houdt dan ook verschillende mogelijkheden open, zoals dat de NSA niets van het lek wist, dat ze het lek nooit hebben gebruikt, dat de NSA het stiekem heeft toegevoegd of dat het hulp van Apple kreeg. Het scenario waar Gruber zelf voor kiest is dat de NSA van het lek wist en hier ook daadwerkelijk gebruik van heeft gemaakt.

Image

Reacties (6)
23-02-2014, 13:47 door Anoniem
Apple, Google, Facebook, etc., hebben miljoenen van de NSA gehad om hun software zo aan te passen dat de gebruikers niets van het gespioneer zouden merken. Wat is er dan met dat geld gebeurd? En dan maar gillen dat ze er niets van wisten.
23-02-2014, 17:42 door Anoniem
Hier wordt opnieuw bewezen dat onafhankelijke bron- en kanaalcodering een noodzakelijk concept is op het huidige (door de VS gedomineerde) internet. Nadere uitleg van dit concept (dat sinds 2007 operationeel is) is bijvoorbeeld te vinden op wuala.com/freemovequantumexchange en een publieke voorbeeld groep is te vinden op wuala.com/pgpstore (naast niet publike private groepen natuurlijk).
23-02-2014, 22:48 door Anoniem
Het is ook wel een erg rare bug:

https://www.imperialviolet.org/2014/02/22/applebug.html
24-02-2014, 05:46 door Anoniem
PRISM gaat over data in rest. Gotofail SSL bug over data in transit. I rest my case.
24-02-2014, 13:12 door Anoniem
Wel bijzonder dat Skype in mei 2011 werd overgenomen door Microsoft en dat het in juni 2011 al in het PRISM programma werd opgenomen.
24-02-2014, 13:14 door Anoniem
Oh pardon. 02/06 is natuurlijk 6 februari.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.