Conecte-se conosco
Apple SSL bug

Apple

Falha gravíssima de segurança obriga Apple a atualizar iOS e Mac OS X emergencialmente

Falha gravíssima de segurança obriga a Apple a atualizar emergencialmente seus sistemas iOS e Mac OS X. Descubra se você está vulnerável.

Apple SSL bug

Na última sexta-feira, a Apple disponibilizou aos usuários de aparelhos com iOS os updates 7.0.6, 6.1.6 e Apple TV. Muitos ficaram surpresos com a atualização sem aviso, pouco comum e descobriram que ela consertava uma falha grave nos procedimento de segurança da Apple nos protocolos SSL, para conexões seguras pela internet. Hoje, a empresa lançou atualizações para o Mac OS X Mavericks e um pacote de segurança para o OS X Montain Lion corrigindo o mesmo problema.

O que é SSL?

Em uma breve explicação, o SSL garante que as informações trocadas entre um navegador de um usuário e um servidor de um site sejam criptografadas durante o trajeto. Se alguém interceptar as mensagens, só verá um monte de letras e números embaralhados e sem sentido. O SSL está ativo quando você vê o ícone do cadeado nos navegadores e é amplamente utilizado em sites de compras eletrônicas, bancos, email, redes sociais e outras páginas que tratem de informações sensíveis.

Para ficar mais fácil entender. Imagine duas pessoas falando ao telefone. Em uma conexão normal, se alguém pega uma extensão, consegue ouvir tudo o que está sendo dito. Agora imagine que com o SSL, as vozes são “embaralhadas” na transmissão e apenas voltam ao normal na outra ponta. Neste caso, se alguém pega uma extensão, tudo que irá ouvir é o som embaralhado, sem sentido, pois não possui o aparelho e o código para “desembaralhar” a voz. No bug da Apple, o sistema não checava se o código era o correto e qualquer um que conseguisse pegar a extensão e fingir que tinha o código conseguia desencriptar a comunicação.

Qual a gravidade do bug?

A falha é gravíssima e é agravada ainda mais pelo fato de que não apenas navegadores usam a implementação SSL da Apple, mas também inúmeros apps que dependem de autenticação, inclusive vários da própria empresa de Steve Jobs, como calendário, iCloud, Mail, Keychain e FaceTime. Obviamente, o Safari e outros navegadores que dependem da implementação SSL da Apple tambéms sofrem com o problema. No OS X, os navegadores Firefox e Chrome possuem uma implementação própria do SSL e estão livres do bug. Assim, qualquer usuário de apps e navegadores que utilizem a implementação da Apple do protocolo SSL (quase todos) está sujeito a ter informações interceptadas.

O bug foi causado por uma simples linha de código duplicada, que fazia com que o protocolo não realizasse as conferências devidas dos certificados trocados entre usuário e servidor. Com isso, informações que deveriam transitar criptografadas pela internet poderiam ser expostas em um ataque “man in the middle”, no qual alguém intercepta as mensagens após elas saírem do computador do usuário mas antes de serem enviadas ao servidor. Com o bug, um hacker poderia simular ter o mesmo certificado do servidor e conseguiria ver o teor real das mensagens.

goto fail bug Apple

A linha duplicada fazia com o que resto do código, muito importante, não fosse executado.

Logo após o anúncio, diversos pesquisadores demonstraram como é possível realmente decifrar mensagens, inclusive de apps da própria Apple, exibindo informações como senhas e nomes de usuário. O hacker precisa estar na mesma rede sem fio ou física que o outro usuário para o ataque ser bem sucedido, o que limita o risco, mas torna usuários de redes públicas e de estabelecimentos como restaurantes alvos fáceis.

Como sei se estou vulnerável?

Para testar se seu navegador está vulnerável, visite este site usando seu dispositivo e os navegadores que usa normalmente. Se o conteúdo abrir, o bug está presente. Se o conteúdo não abrir, o bug não está presente no app específico. Na imagem abaixo, você pode ver que em meu computador com Mac OS X 10.9.1 (ainda não atualizado para fins de demonstração), o bug aparece no Safari e não aparece no Chrome.

Bug SSL da Apple

O Chrome passou no teste e não apresenta o bug, já o Safari no OS X Mavericks 10.9.1 está vulnerável.

Como posso me proteger?

Atualize imediatamente seus aparelhos com iOS para as versões 7.0.6 e 6.1.6 e Mac OS X para o 10.9.2 e security update do Montain Lion.

Enquanto não é possível atualizar, não utilize serviços e apps críticos como sites de bancos e lojas virtuais usando o iOS e Mac OS X em navegadores que não passarem no teste acima, especialmente em redes Wi-Fi públicas.

Atualmente advogado, mas apaixonado por tecnologia e tentando uma nova carreira na área, não passo um dia sequer sem usar algo feito por Apple, Google, Microsoft e Amazon.

Comentários

Mais de Apple

Dica

Mais Lidas

Reviews

Cultura Geek

Tutoriais

To Top