Derfor må du oppdatere iPhone og iPad nå
Alvorlig sikkerhetshull er oppdaget i nettleseren.
På fredag slapp Apple i all stillhet en ny sikkerhetsoppdatering til iOS, som skulle rette en feil i forbindelse med SSL-krypteringen. Selv om oppdateringen ble sluppet uten så mye som en lyd fra selskapet, bør du så absolutt ta til takke ja til den. Den tetter nemlig et alvorlig hull i Apples programvare.
SSL, kort for Secure Sockets Layer, er veldig viktig i dagens nettbaserte samfunn. Mange nettsteder og tjenester er helt avhengige av SSL for å skape en sikker kobling mellom deg og de aktuelle serverne.
Du bør med andre ord oppdatere snarest mulig. iOS 7.06 er versjonen du bør ha, men om du derimot sitter på en Mac med OS X må du vente en stund – ettersom Apple ikke har ordnet en oppdatering i skrivende stund.
Gjør sikker oppkobling usikker
En sikker SSL-oppkobling opprettes helt automatisk av nettsider som ønsker å gi brukeren et ekstra lag med beskyttelse. For vanlige brukere kan du se at koblingen er sikker ved at et lite hengelåssymbol dukker opp på adresselinjen i nettleseren din, og at selve nettadressen starter med «https://».
Normalt sett er en slik kobling sikker som banken, men med sikkerhetsfeilen hos Apple er situasjonen en helt annen. Hullet har nemlig satt dørene på vidt gap for såkalte "man-in-the-middle"-angrep.
Dette er en angrepsform der det fremstår for brukeren som at man kommuniserer direkte mot for eksempel nettbanken, Gmail eller Facebook, mens det for de aktuelle leverandørers servere fremstår som at de kommuniserer mot deg. Problemet er bare at det midt mellom deg og serverne er en tredjepart som fanger opp all trafikken, som ikke nødvendigvis har gode hensikter.
Det er heldigvis bare Apples egne applikasjoner som er utrygge å bruke med tanke på SSL-problematikken, som Safari, kalenderen, mailklienten og iBooks. Bruker du en nettleser fra en tredjepart, som Chrome og Firefox, så er du i alle fall sikret mot akkurat dette hullet.
Skyldes trolig en kodefeil
Det er ingen offisiell informasjon om hvordan dette kunne skje, men det mangler ikke på rykter ute på nett. Google's Adam Langley har på sin blogg skrevet at sikkerhetshullet skyldes mest trolig en programmeringsfeil. Han fant nemlig en ekstra linje med kode som sørger for at de aller fleste forsøk på å skape en sikker kobling ville gjøre at nettleseren fikk melding om at dette var skjedd, selv om det ikke var tilfelle.
Dette betyr at om noen forsøkte å koble seg inn mellom deg og nettbanken din, så ville SSL-sjekken aldri bli skikkelig fullført, og nettleseren ville fått melding om at en sikker kobling var etablert. Banken ville på sin side også få den informasjonen den skulle ha.
Feilen skal ha eksistert i 1,5 år, men det er slettes ikke sikkert den er misbrukt i vesentlig grad. For selv om feilen har eksistert lenge er det nok få som har vært klar over den. I tillegg må eventuelle angripere ha kapasitet til sjekke alle de SSL-oppkoblingene som finner sted til enhver tid, og det er ikke få.
Les også: Nå kommer de spionsikre mobiltelefonene
(Kilde: Gizmodo)
