Như chúng ta đã biết, ngày hôm qua Apple đã phát hành bản cập nhật iOS 7.0.6 nhằm vá lỗi liên quan đến việc xác minh kết nối SSL. Chúng ta không hề biết đến lỗ hổng này cho đến khi nó được công bố, nhưng nếu nhìn lại thời gian qua sống chung với lỗi này, quả thực là một lỗ hổng bảo mật nghiêm trọng.
Trong một tài liệu hỗ trợ, Apple cho biết rằng bản vá này sửa chữa một lỗ hổng mà kẻ tấn công có thể lợi dụng để đánh cắp hoặc sửa đổi dữ liệu được bảo vệ bởi kết nối SSL / TLS bằng một "vị trí mạng đặc quyền" (privileged network position). Nói cách khác, iOS có thể bị tấn công theo phương pháp giả mạo trung gian kết nối giữa iDevices và máy chủ (web, mail..v.v..), thuật ngữ chuyên ngành là "man-in-the-middle". Với phương pháp tấn công này, hacker có thể đánh chặn và ăn cắp thông tin của người dùng như tài khoản email, tài khoản game, mật khẩu, thông tin thẻ tín dụng...v.v... cho dù nó được kết nối thông qua các giao thức bảo mật SSL/TLS.
Đây là đoạn trích trong tài liệu từ Apple:
Available for: iPhone 4 and later, iPod touch (5th generation), iPad 2 and later
Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS
Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
CVE-ID
CVE-2014-1266
People on public wifi networks (Sochi?), please just don’t use your iOS device if it’s not updated to iOS 7.0.6. Don’t use your Mac Book.— pod2g (@Pod2G) February 22, 2014
Vâng, vấn đề bảo mật của iOS < 7.0.6 hiện nay quá tệ và tôi khuyên mọi người hãy nhanh cập nhật bản mới.
Một ngày tệ hại dành cho Apple. Hôm nay chúng ta biết rằng giao thức HTTPS không hề bảo vệ thông tin cá nhân của chúng ta cả 1 năm qua, có thể còn hơn nữa trên OSX và iOS.
Mọi người đang sử dụng kết nối wifi công cộng (ở thế vận hôi Sochi chẳng hạn), xin đừng sử dụng thiết bị chạy iOS nếu nó chưa cập nhật bản iOS 7.0.6. Đừng sử dụng Macbook.
Lỗi nghiêm trọng này đã được sửa chữa trên phiên bản 7.0.6, bạn hãy cập nhật bản mới càng sớm càng tốt, đừng lo lắng vì phiên bản 7.0.6 vẫn có thể jailbreak được (tải về công cụ jailbreak evasi0n7 bản 1.0.6 hỗ trợ iOS 7.0.6 tại đây). Nhưng hãy nhớ rằng từ khi Apple phát hiện ra lỗ hổng này, chúng vẫn có thể còn bị khai thác trên các thiết bị đang chạy iOS 7.1 beta !
Và, lỗi bảo mật này chưa được vá trên hệ điều hành OSX, nhưng Apple đã xác nhận với hãng tin Reuters họ vẫn đang sửa chữa và mọi người nên chú ý về vấn đề này.
Quảng cáo
phudq90 dịch.
Theo iDownloadBlog.
