Tonnevis av sikkerhetsfikser

Mens de fleste Mac-, iPad- og iPhone-brukere har fokusert på Apple Music-tjenesten de siste dagene, har brukere med sans for sikkerhet funnet alle sikkerhetsoppdateringene vel så interessante.

Det gjelder for eksempel for Glenn Fleishman i den amerikanske Macworld-redaksjonen. Med forbehold om at grundigere tester kan vise noe annet, mener han at brukere av Apples PC-er, mobiler og nettbrett nå bør føle seg tryggere etter oppdateringen til iOS 8.4 (for iPhone og iPad) og OS X  10.10.4 (for Mac).

Trygg oppvåkning etter dvale

Blant feilfiksene finner vi en oppdatering for Apples versjon av Extensible Firmware Interface (EFI), etterkommeren etter det som i sin tid ble kalt BIOS for PC-er. EFI styrer oppstarten av Mac-en og tar hånd om en rekke testprosedyrer mens operativsystemet lastes inn.

For ikke så lenge siden ble det oppdaget at det var mulig å modifisere denne fastvaren mens Mac-en ble vekket opp fra dvale. EFI-systemet er til vanlig sterkt beskyttet ved hjelp av blant annet kryptering, men i oppvåkingsfasen ville det altså være mulig å endre EFI til å gjøre modifiseringer som kunne innebære en sikkerhetsrisiko.

Trusselen gjelder trolig bare for Mac-er fra midten av 2014 og eldre, og feilrettingen fungerer både for Mac-er som kjører Yosemite, Mountain Lion 10.8.5 og Mavericks 10.9.5.

En annen feil som nå er fjernet, er den såkalte Rowhammer-trusselen som åpnet for angrep mot data lagret i DRAM-minnet, med mulighet for å overta styringen av systemet.

Ifølge nettstedet Net Applications, som måler fordelingen av bruken av forskjellige nettlesere og operativsystemer, var det i april omtrent 14 prosent av Mac-ene som brukte et Mac-operativsystem eldre enn Mountain Lion.

Selv om dette betyr at millioner av Mac-er fortsatt kjører en utdatert OS-versjon, minsker tallet for hver dag som går. Det er lite sannsynlig at hackere med onde hensikter vil bruke mye tid på å utvikle kode for å angripe en så sterkt synkende brukermasse.

Apple har også fjernet en feil i Apples epostprogram Mail som kunne føre til at en trojansk hest ble aktivert. Feilen aktiverte en falsk påloggingsmelding til Apple iCloud-skytjeneste, med fare for phishing – nettfiske med jakt etter passord, kredittkortinformasjon og så videre.

Apple skal ha blitt varslet om feilen i januar. Underveis i arbeidet med å fikse feilen fremholdt Apple at man ikke var kjent med at noen brukere var berørt av feilen.

Kina-dilemmaet

I mars i år avslørte Google at CNNIC, kontoret som administrerer Kinas .cn-rotdomene og som autoriserer digitale sikkerhetssertifikater for sikre webforbindelser, hadde gjort seg skyldig i regelbrudd. Kort fortalt åpnet  den kinesiske domeneadministratoren for at tredjeparter kan opprette sikkerhetssertifikater som kan imitere ethvert sikkert nettsted i hele verden.

Google og andre instanser har overvåkning som kan oppdage slike uregelmessigheter, og oppdagelsen førte til at det ble slått alarm.

Både Google og Mozilla, som står bak Firefox-nettleseren, reagerte raskt. CNNIC ble strøket fra listen over dem som kan autorisere sikkerhetssertifikater for Android, Chrome, Chrome OS, Firefox, Firefox OS og Thunderbird, Mozillas eposttjeneste.

Microsoft nøyde seg med å fjerne bare sikkerhetssertifikatet som CNNIC hadde godkjent i strid med reglene, mens Apple ikke gjorde noe som helst.

Ifølge Glenn Fleishman hos amerikanske  Macworld kan denne tilbakeholdenheten skyldes at både Microsoft og Apple har så mye virksomhet på gang i Kina at situasjonen rett og slett ble ukomfortabel for de to selskapene.

Apple kan ha kommet i skvis mellom brukernes sikkerhet og privatlivets fred på den ene siden og hensynet til samarbeidet med Kina på den andre siden, hevder Fleishman. Apple skal ha prøvd å redusere betydningen av det kinesiske regelbruddet ved å si at det dreide seg om et midlertidig sertifikat som ved en feiltakelse ble autorisert av CNNIC.

Apple har imidlertid løst problemet med sin siste OS-oppdatering. Der har selskapet lagt inn en ny mekanisme som gir Apple mulighet til å godta bare et mindre antall sertifikater fra en hvilken som helst instans som autoriserer sikkerhetssertifikater, i stedet for å måtte godta alle sertifikatene fra de respektive autoriseringsinstansene.

Apples liste over troverdige sertifikatutstedere ekskluderer nå sertifikater som CNNIC har lagt ut etter «feiltakelsen». Dette gjør at Apples kinesiske brukere så vel som Apple-brukere som kobler seg til kinesiske nettsteder utenfra, forhindres i å motta «farlige» sikkerhetsfeilmeldinger.

Nettsteder som støtter sikkerhetssertifikater av nyere dato vil ikke kunne åpnes i Firefox, Android, Chrome eller Safari. Derimot vil de kunne åpnes i Internet Explorer, ifølge Macworld.

Krypteringstrussel

Apple har også levert en feilretting til en krypteringsfeil som har vært kjent i flere måneder. Ved hjelp av denne feilen kunne hackere bryte seg inn i en kryptert kommunikasjonssesjon og tvinge nettleseren eller serveren til å nedgradere til en utdatert krypteringsalgoritme som deretter lett ville la seg bryte opp. Denne typen angrep har fått navnet Logjam.

Apper som stjeler info

17. juni ble det kjent at det var mulig å få lurt inn apper i Apples App Store som kunne stjele passord, informasjon om nettverksporter og andre opplysninger via andre apper, til tross for Apples grundige overvåkning av App Store. Apple benytter blant annet et sandkassesystem som skal sikre at hver app holder seg i sin egen «sandkasse» uten mulighet for å få tilgang til data og filer fra andre apper unntatt gjennom strengt bevoktede kanaler.

Flere sikkerhetseksperter oppdaget imidlertid mange svake punkter i Apples beskyttelse av programvaren i App Store og kalte svakheten for uautorisert ressurstilgang på tvers av apper – «unautherized cross-app resource access», forkortet XARA.

Apple har ikke rukket å reparere alle disse feilene ennå, men sier at selskapet har greid å stenge en del av svakhetene på serversiden.

En kommende oppdatering vil trolig gå sterkere til verks mot disse problemene, forventer Macworld.