Slik er Apples krypteringskrise

Fiks av krypteringsfeil er klar for Iphone, men MacOS er fortsatt utsatt for stort sikkerhetshull.

Publisert Sist oppdatert

Før helga kom en diskret melding om at en feil i IOS gjorde at krypterte nettsamband faktisk var åpne samband for den med rette privilegier i nettverket. Ut over helga har sikkerhetshullet vokst både i betydning og omfang.

Hullet er alvorlig, og av de helt store, også som sikkerhetsflause. Kunder med smarttelefon fra Apple anbefales å oppdatere snarest til IOS 7.0.6. Modell 3GS eller Ipod bør bruke oppdatering 6.1.6.

Rammer applikasjoner i fleng

- Mange Apple-applikasjoner og tredjepartsapplikasjoner er rammet. Dette inkluderer Apple Mail, FaceTime, Calendar, Keynote, Safari-nettleseren, Ibooks og Software Update. Også tredjeparts applikasjoner som Twitter-appen og i verste fall VPN-samband, sa Ashkan Soltani, som er en uavhengig personvern og sikkerhetsrådgiver til nyhetstjenesten til Computerworld.

Verre er at det samme hullet er i PC-OSet-et MacOS. Apple har varslet at de arbeider med å få tettet hullet, og brukere anbefales å opptre forsiktig og installere oppdateringen så snart den blir tilgjengelig. Lørdag varslet selskapet at de hadde en tetting klar, og at den ville slippes for bruk veldig snart.

Krypteringssvikt

Sikkerhetshullet rammer kommunikasjon som bruker krypterte nettverkssamband basert på SSL-protokollen. Secure Sockets Layer er en populær sikkerhetsteknologi siden den kan enkelt kan settes i verk siden de fleste moderne os og nettlesere har innebygd støtte. I korthet innebærer det en garanti mellom din klient og server-tjenesten du kopler til at du er den du sier du er, og at serveren er den serveren du vil ha kontakt med.

Brukere kjenner igjen SSL-samband gjennom at nettadressen starter med en «HTTPS», at adresselinjen får grønnfargekoding eller at en hengelås eller nøkkelikon blir synlig.

Datatrafikk som går gjennom et SSL-samband er kryptert, det vil si uleselig for den som forsøker å fange opp trafikken. Den brukes i nettbutikker, nettbanker og fornuftig bruk av nettepost og sosiale nettverk for å verne din personlig informasjon mot innsyn.

Tabbe i 18 måneder

Hullet Apple har introdusert for halvannet år siden, og nå frenetisk forsøker å tette, innebærer at Apple-klienten ikke lenger kan sjekke om serveren er den rette, riktige serveren. Den vil likevel sette opp sambandet, med risiko for mottakersiden kan plukke opp alle sensitive data du sender over sambandet – brukernavn, passord, kredittkortnummer, forretningsstrategidokumenter eller epost. Riktig, også epostkommunikasjon som bruker TLS er sårbar.

Hullet er så digert og enkelt å utnytte at noen som sitter i samme kafe som deg og bruker samme trådløsnett kan ta det i bruk.

Feilen ble introdusert i IOS 6.0 i 2012. Den som lurer på om Apple tar dette alvorlig, vil se at også eldre smarttelefoner som 3GS er oppdatert. Dette er en telefon som egentlig er faset ut av støtten Apple gir sine produkter, men er akkurat her prioritert for sikkerhetsoppdatering.