[blogo-video provider_video_id=”x5_YKJNE0TU” provider=”youtube” title=”How to Fix SSL bug without upgrading to iOS 7.0.6 or iOS 6.1.6″ thumb=”” url=”http://www.youtube.com/watch?v=x5_YKJNE0TU”]
Apple ha da poco rilasciato un aggiornamento per iOS 6, iOS 7 e Apple TV per risolvere un importante problema di sicurezza legato alle connessioni SSL/TLS. “Poco male”, ci diciamo, abituati a che gli aggiornamenti di sicurezza soluzionino oscuri bug che appaiono in ancor più oscure situazioni. Forse questo non è il caso, visto che questo bug si è meritato un aggiornamento di iOS 7 e iOS 6 tutto suo e che la medesima falla è ancora presente in OS X, coinvolgendo buon numero di app di sistema.
Tutto quello che tocca SSL/TLS dovrebbe attrarre la nostra attenzione, perché riguarda il modo nel quale le trasmissioni su Internet sono criptate. Se esiste un problema col protocollo di crittografia, allora vuol dire che la connessione non è più sicura, implicando una possibile vulnerabilità dei dati sensibili (numero della carta di credito, e-mail, ecc…).
Nella fattispecie, questo bug riguarda una linea di codice responsabile di convalidare l’identità di un server. Come funziona ciò? Quando il browser si connette in maniera sicura a una pagina web, il sito invia il proprio certificato; a sua volta il browser lo controlla, verificando così che la pagina web alla quale si è collegato sia autentica. Il browser verifica anche che la firma digitale dei certificati del server sia valida e riconosciuta da una certificate authority. Dopo questa autenticazione, di solito il browser indica una connessione sicura mostrando l’icona del lucchetto.
Il bug di iOS e OS X entra in gioco quando il browser verifica che la firma digitale del certificato combaci con la chiave pubblica del sito. Un errore di scrittura abbastanza banale (il codice può essere visionato presso il codice open source pubblicato da Apple, guardando il file sslKeyExchange.c), fa in modo che il browser non verifichi mai la chiave pubblica della pagina web sicura alla quale è connesso, causando un’importante falla di sicurezza. Questo bug interessa qualsiasi software che usi l’API di Apple SecureTransport per creare connessioni SSL o TSL, il che include Safari e molte altre app di terze parti.
Come risultato, un hacker mal intenzionato potrebbe effettuare una tecnica di attacco man-in-the-middle per accedere ai dati sensibili inviati su una connessione (creduta) sicura. Meglio vale aggiornare iOS alla versione 7.0.6 10.0.6 come caldamente consigliato da Apple; per chi avesse effettuato il jailbreak, esiste la possibilità di correggere il bug applicando un patch mantenendo la versione corrente di iOS: la manovra è spiegata nel video qui sopra.
Gli utenti OS X dovranno applicare il patch appena sarà reso disponibile, la qual cosa non dovrebbe tardare: il portavoce di Apple Trudy Muller ha infatti dichiarato a Reuters che un aggiornamento di sicurezza per OS X sarà messo online al più presto.
Via | iMore