จุดบกพร่องในโค้ดของ Apple ขัดขวางไม่ให้มีการตรวจสอบความถูกต้องของการเชื่อมต่อ SSL/TLS ซึ่งเปิดประตูสู่การโจมตีแบบ "คนตรงกลาง" มีการเปิดตัวแพตช์สำหรับ iOS ในช่วงสุดสัปดาห์ อีกอันหนึ่งน่าจะมาถึงในสัปดาห์นี้สำหรับ Mac OS X
สุดสัปดาห์นี้ Apple ได้เปิดตัวแพตช์รักษาความปลอดภัยสำหรับเทอร์มินัลที่ใช้ iOS 7 อย่างเร่งด่วน เพื่อปิดข้อบกพร่องร้ายแรงในการจัดการการเชื่อมต่อที่เข้ารหัส SSL/TLS เอ่อ… ข้อบกพร่องคือการพูดน้อย เราควรพูดถึงหลุมที่อ้าปากค้างดีกว่า!
จากการวิเคราะห์ของ Adam Langley วิศวกรของ Google ข้อผิดพลาดดังกล่าวถูกซ่อนอยู่ในไลบรารีของ Apple ซึ่งรับผิดชอบในการตรวจสอบลายเซ็นอิเล็กทรอนิกส์ของใบรับรอง เมื่อมีการสร้างการเชื่อมต่อ SSL/TLS บรรทัดของโค้ดถูกทำซ้ำโดยไม่ได้ตั้งใจ (เช่น: “goto failed;”) ซึ่งส่งผลร้ายที่ระบบจะตรวจสอบลายเซ็นใดๆ ความถูกต้องของใบรับรองจึงไม่ได้รับการตรวจสอบ ซึ่งทำให้มีโอกาสถูกโจมตีจากการโจรกรรมข้อมูลระบุตัวตน
เมื่อผู้ใช้ท่องเว็บบนเพจที่ปลอดภัย (อีเมล บริการธนาคาร ฯลฯ) บุคคลที่สามสามารถแทรกตัวเองระหว่างเทอร์มินัลและจุดเชื่อมต่ออินเทอร์เน็ตและโพสท่าสำหรับไซต์ที่เป็นปัญหา (ที่เรียกว่า "มนุษย์" ได้ไม่ยาก ตรงกลาง” โจมตี) ด้วยวิธีนี้จึงสามารถจับข้อมูลหรือแก้ไขก่อนที่จะส่งกลับไปยังไซต์จริง
ขอแนะนำให้ติดตั้งโปรแกรมแก้ไขโดยเร็วที่สุด อย่างไรก็ตามก็ไม่จำเป็นต้องตื่นตระหนกเช่นกัน เพื่อใช้ประโยชน์จากข้อบกพร่องนี้ คุณจะต้องสามารถเข้าถึงเครือข่ายที่เชื่อมต่อเทอร์มินัลกับอินเทอร์เน็ตได้ หากเป็นเครือข่าย WiFi ที่บ้านของคุณเองและได้รับการป้องกันอย่างเหมาะสม (AES) ความเสี่ยงก็ยังต่ำ ในทางกลับกัน คุณควรหลีกเลี่ยงสถานที่สาธารณะ ในร้านกาแฟ สวนสาธารณะ หรือสนามบิน คำเตือน: ข้อบกพร่องนี้มีอยู่ในคอมพิวเตอร์ที่ใช้ Mac OS X เช่นกัน Apple ยังไม่ได้ออกแพทช์รักษาความปลอดภัยสำหรับระบบเหล่านี้ แต่ควรจะออกในสัปดาห์นี้
การคาดเดาแบบหวาดระแวง
ชุมชนแฮกเกอร์และนักวิจัยด้านความปลอดภัยต่างสงสัยเกี่ยวกับที่มาของจุดบกพร่องนี้ สำหรับบางคน มันเป็นเพียงข้อผิดพลาดง่ายๆ ข้อผิดพลาดในการเขียนโค้ด อย่างไรก็ตาม คนอื่นๆ พบว่าเชือกหนาเกินไป บรรทัดที่ซ้ำกันนี้อยู่ในตำแหน่งที่ดีเกินไปที่จะไม่เป็นการก่อวินาศกรรมโดยเจตนา บางคนมองว่านี่เป็นงานของ NSA ซึ่งดังที่เราเห็นในเอกสารของ Edward Snowden มีความสามารถในการเจาะเครือข่ายคอมพิวเตอร์
ในส่วนของเขา John Gruber โปรแกรมเมอร์ที่เชี่ยวชาญด้านระบบ Apple เชื่อว่า NSA ทราบถึงข้อบกพร่องนี้อย่างแน่นอน และได้ใช้ประโยชน์จากข้อบกพร่องดังกล่าว ในทางกลับกันเขาไม่คิดว่า Apple มีส่วนเกี่ยวข้องในเรื่องนี้ คำถามยังคงเปิดอยู่
อ่านเพิ่มเติม:
Apple ID: ตัวเลือกการรับรองความถูกต้องแบบคู่มาถึงในฝรั่งเศส, วันที่ 21/02/2557
Apple ปฏิเสธการทำงานร่วมกับ NSA เพื่อสร้างแบ็คดอร์ iPhone, วันที่ 02/01/2557
แหล่งที่มา :
ระดับความปลอดภัยของแอปเปิล
บล็อกของอดัม แลงลีย์
บล็อกของจอห์น กรูเบอร์
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
