Аппле потврђује закрпу „ФРЕАК Аттацк“ за иОС и ОС Кс следеће недеље

• Категорија: Аппле

Нови експлоат под називом „ФРЕАК Аттацк“ — што је скраћеница за „Факторинг напад на РСА-ЕКСПОРТ кључеве“ — који користи предности безбедносног пропуста који датира из 1990-их ће Аппле ускоро закрпити.

Док разговарамо, произвођач иПхоне-а спрема исправку за иОС и ОС Кс која ће бити доступна у ажурирањима софтвера следеће недеље, рекао је портпарол фирме из Купертина рекао Ја више.

Мучени због овог безбедносног пропуста, корисници Мац, иПхоне, иПад, иПод тоуцх и Андроид уређаја су у опасности када посећују рањиве веб-сајтове које безбедну ХТТПС везу враћају на слабији метод шифровања.

Компанија из Цупертина је свесна експлоатације у свом прегледачу Сафари за ОС Кс и иОС.

Рањиви веб-сајтови укључују неке од највећих брендова и онлајн имовине као што су АмЕк, Аиртел, Блоомберг, Бусинесс Инсидер, Гроупон, Марриотт и многи други.

Експлоатација је објављена јуче, али Аппле се очигледно брзо креће у решавању проблема, што је заиста охрабрујући знак.

„Имамо исправку за иОС и ОС Кс“, рекао је портпарол Аппле-а за иМоре, „која ће бити доступна у ажурирањима софтвера следеће недеље.

Изјава је била одјекнуло Ре/цоде, цитирајући портпарола Аппле-а Рајана Џејмса који је рекао да је Аппле „развио ажурирање софтвера за отклањање рањивости и да ће оно бити избачено следеће недеље“.

„Следеће недеље“ је вероватно понедељак.

Аппле би 9. марта требало да детаљно изнесе Сат на  Медијски догађај „Пролеће напред“. у Центру за уметност Иерба Буена у Сан Франциску.

Пар ажурирања софтвера за иОС и ОС Кс који омогућавају компатибилност са сатом би требало да буде објављен убрзо након презентације.

У складу на веб локацију ФРЕАКАттацк.цом, клијенти склони овој рањивости не укључују само многе Гоогле и Аппле уређаје који користе ОпенССЛ без закрпе, већ и велики број уграђених система и „многе друге софтверске производе који користе ТЛС иза сцене без онемогућавања рањивих криптографски пакети“.

Иако су истраживачи открили јуче, ова рањивост је некако успела да остане непримећена више од деценије.

Тада је америчка влада захтевала од добављача софтвера да користе слабију 512-битну енкрипцију у производима који се продају у иностранству. Смернице, осмишљене да спрече извоз јаке енкрипције, биле су на снази до касних 1990-их.

Метју Д. Грин, криптограф Џонс Хопкинс који је помогао у истраживању грешке у шифровању, рекао Васхингтон Пост да сваки владин захтев да ослаби безбедност додаје сложеност на коју хакери могу да дођу.

„Додаћете бензин у ватру“, рекао је Грин. „Када кажемо да ће ово учинити ствари слабијим, то говоримо с разлогом.

Иако су ограничења америчке владе укинута касних 1990-их, слабија енкрипција је „укочена у широко коришћени софтвер који се ширио широм света и назад у Сједињене Државе, очигледно непримећен до ове године“, пише лист.

Аппле је разбеснео владине званичнике својим непоколебљивим ставом о безбедности корисника, посебно након што је почео да примењује стандардно шифровање уређаја почевши од иОС 8.

Шифровање чини корисничке податке и датотеке ускладиштене на уређају нечитљивим без кључа за шифровање који је изведен из лозинке.

Иако је Гоогле првобитно обећао да ће омогућити шифровање на сваком Андроид 5.0 Лоллипоп уређају, компанија је недавно променила своју позицију и сада каже да ће шифровано складиштење бити доступно у „будућим верзијама Андроида“.

У складу за АрсТецхница, омогућавање шифровања диска као стандардне функције у Андроиду 5.0 Лоллипоп би озбиљно угрозило перформансе система, чак и на Гоогле-овим паметним телефонима и таблетима Некус бренда.

„Наш преглед Некуса 6 показао је да би нови телефон могао бити спорији од старог Некуса 5 у одређеним задацима, а АнандТецх је доставио додатне бројеве који показују колико је озбиљан утицај на перформансе“, наводи се у публикацији.

Шифровање на мобилним уређајима зависи од наменске хардверске компоненте и брзог флеш меморије. Аппле има обоје. Прилагођено дизајнирани процесори које Аппле користи у иОС уређајима омогућавају да координирају софтвер и хардвер боље од других компанија које користе готове компоненте, и то на начине који су посебно дизајнирани имајући на уму сигурност корисника.

Извор: Ја више