Heartbleed, новый взлом OpenSSL: Как это влияет на OS X и iOS? |

Heartbleed, новый взлом OpenSSL: Как это влияет на OS X и iOS?

Эксплойт OpenSSL оставляет уязвимые бесчисленные интернет-сервисы, которые используют шифрование данных. Ваш Mac или ваше устройство iOS уязвимы?

OpenSSL — это популярное программное обеспечение с открытым исходным кодом для шифрования, используемое во всем Интернете. В последнее время это было в новостях, со множеством страшных предупреждений о том, что недавно обнаруженная ошибка означает для ваших личных данных. Это угроза безопасности OS X или iOS? Вам нужно беспокоиться о уязвимости вашего Mac, iPhone или iPad? AskDifferent:

Никакие версии OS X не затронуты (ни iOS не затронуты). Только установка стороннего приложения или модификации может привести к тому, что программа Mac или OS X будет иметь эту уязвимость / ошибку в OpenSSL версии 1.0.x.

Таким образом, пользователи Mac могут вздохнуть с облегчением. Пользователи iOS также сорваны с крючка. Apple вообще не использует OpenSSL в iOS. Apple также не нравится OpenSSL в OS X, благодаря тому, что она называет нестабильным API (интерфейс прикладного программирования). Компания активно отговаривает зарегистрированных разработчиков от использования ее в своей документации по безопасности.

Apple хранит старую версию OpenSSL, которая не уязвима для эксплойта. Безопасно прикован к стене. В темнице Он время от времени подталкивает палками, чтобы убедиться, что он все еще дышит.

О, кстати — вы зависите от iCloud для чего-нибудь? Почта, может быть, или с помощью приложений iCloud.com? Синхронизировать ваши данные с устройствами iOS и Mac? Вы можете быть уверены, что OpenSSL здесь не проблема. в этот момент вы можете быть спокойны, если ваш Apple ID в безопасности.

Это означает, что мы все сорваны с крючка, верно?

Нет, даже близко.

Устройства Apple безопасны, но данные не

Я не могу переоценить это: ваше устройство Apple может быть в безопасности, но ваши зашифрованные данные могут не быть. Это очень большое дело, потому что оно затрагивает многие веб-сайты и другие интернет-сервисы, которые вы используете. Если служба использует OpenSSL для управления потоком зашифрованных данных, это может оказаться под угрозой. Найдите службы, от которых вы зависите, чтобы выяснить, использовался ли OpenSSL для шифрования данных, и убедитесь, что они обновлены. Как только вы узнаете, что это так, возможно, стоит сменить пароли для дополнительной безопасности.

Уязвимость OpenSSL важна для понимания, в любом случае. Недостаток делает возможной кражу информации, защищенной иным образом с помощью шифрования SSL / TLS, что делает уязвимыми многие веб-сайты, виртуальные частные сети, системы электронной почты и многое другое.

Он называется Heartbleed, потому что он использует расширение «heartbeat» протокола безопасности, которое поддерживает связь между клиентом и службой. Используя уязвимость, информация может быть расшифрована и просмотрена третьей стороной.

Дежавю снова и снова

Разве SSL / TLS не звонит? Всего пару месяцев назад Apple опубликовала обновления SSL / TLS для Mavericks, iOS 6 и iOS 7, чтобы исправить совершенно другую проблему, связанную с проверкой соединения. Это было широко известно как ошибка «GoToFail».

Эта проблема напрямую затрагивала соединения SSL / TLS на устройствах Apple по причинам, не связанным с OpenSSL. Но достаточно сказать, что до сих пор 2014 год не был своего рода SSL / TLS — протоколом безопасности, от которого Интернет опасно зависит в настоящее время.

Вы беспокоитесь о том, что ваши зашифрованные данные будут захвачены из интернет-служб, от которых вы зависите? Дай мне знать в комментариях.

Ссылка на основную публикацию