一个史诗级SSL漏洞为何被苹果遗忘了18个月

2014年02月26日 07:50   爱活网   

  作者:欧阳洋葱

  近期苹果设备有关SSL连接的安全漏洞引起了全行业的关注,不仅因为此BUG所涉及的范围包括iOS和OS X 10.9桌面设备,还因为这个安全漏洞早在iOS 6时期就存在了,无论从时间的长度还是范围的广度来看,影响都极为深远。虽然针对iOS移动设备的修复更新已经放出,但截止发稿前,应用于Mac的补丁尚未出现。

  苹果公司方面只是说已经了解到这一问题,并且“很快就会发布相应的软件补丁”。上周末,来自Johns Hopkins大学的安全研究人员Matthew Green表示:“这个漏洞被利用的严重性较大,而且当前仍未被控制住。”那么,问题究竟有多严重呢?

一个史诗级漏洞如何被苹果遗忘了18个月?

  波及范围广

  本次所发现安全漏洞的核心部分是以用户的SSL连接作为目标的——SSL连接是在用户进行如网页电子邮件查询、银行站点等的访问,浏览器窗口中出现扣锁图样时的一种加密方案。用户访问银行站点时,由于该站点SSL证书的存在,浏览器给予安全通行。苹果设备出现的安全漏洞即在于 SecureTransport不再正确地审核被访问对象的证书,这样一来黑客就能趁虚而入。

一个史诗级漏洞如何被苹果遗忘了18个月?

  当然SSL并不只是单纯可与HTTP访问挂钩,前期在苹果系统上发现存在该漏洞正是从Safari浏览器开始的。不过研究人员Ashkan Soltani表示,该漏洞实际还蔓延到了与苹果SSL库相关的每一个应用中,包括了FaceTime、邮件和日历应用等,这些都是Mac生态中的核心组成部分。加上此安全漏洞实际在iOS 6推出的2012年9月份就存在了,Soltani认为这项BUG已经成为苹果“最严重的安全漏洞之一”。

  影响力有限

  实际上,这种SSL连接安全漏洞的影响力并不算非常之大。此类SSL连接安全问题,较多引起的主要是中间人攻击,一般情况下需要与被攻击对象同处在一个WiFi环境下,显然这就极大缩小了攻击范围。来自哥伦比亚大学的安全研究人员Steve Bellovin表示:“中间人攻击的发起并不十分容易,范围也比较小。”即便利用这项BUG居于被攻击者的上游,从较高层级捕获更多用户,其攻击也很难保持持续性。

一个史诗级漏洞如何被苹果遗忘了18个月?

  这类漏洞更是无法被NSA之类的情报机构所利用。黑客只能以最直接的方式,比如坐在一家公用WiFi信号覆盖的咖啡厅中,才能监视到周围接入网络的用户;即便如此,这类中间人配合上Flash之类存在广为人知安全漏洞的应用才能发挥最好的作用,当然SSL失效的各类应用均属于薄弱环节。不过,这些并不能作为忽略该BUG的理由,有条件的用户还是应该尽快选择将系统升级至最新,Mac用户则应尽量在这段补丁尚未发布的时间里选择私有Wi-Fi网络使用。

  漏洞从何而来?

  很多人比较关心的问题是,为什么这样一个安全漏洞存在时间如此之久到现在才发现,以及这种漏洞为什么会存在的、。来自Cryptocat应用的 Nadim Kobeissi指出苹果系统中存在的低效if-then语句,以及重复的“goto fail”行。这些较为草率的代码可更为轻易地导致错误发生。哥大的Bellovin指出,代码覆盖测试一般应该可以抓出这些重复的行,为什么苹果却没能发现这些问题呢?

一个史诗级漏洞如何被苹果遗忘了18个月?

  这与苹果的软件开发有较大的关系。一名内部人员透露称,OS X安全框架在苹果内部具有广泛的适用性,在苹果的不同产品和计划间都在重复使用,是个相对较老的框架——因为新代码也就意味着新BUG的产生,毕竟上百人的代码编写团队运作起来相比一人代码编写可产生错误的几率也要大得多。绝大部分SecureTransport一类安全传输核心应用随着时间的流逝都不曾受到较大的影响。

  上面这个论调实际并没有直接解释本次SSL安全漏洞存在的原因。另一方面可对此做出解释的关键在于,Mavericks发布之际 OpenTransport也开源了,无论是苹果的内部人员还是外部人员都可在此之后查找相关的错误代码。好心人当然会把BUG提交给苹果,但影响较广如这次的安全漏洞就会引起黑客的注意了。最终,苹果SSL安全漏洞还是谷歌的HTTPS工程师发现的,实在是苹果的悲哀。

一个史诗级漏洞如何被苹果遗忘了18个月?

  系统代码数百万千万条,经过这么久的时间才被人发现也不足为奇,当整个生态系统发展得越来越庞大,最终类似的错误就会影响到相当大的范围。这次是发生在苹果身上,下一次发生在谷歌和微软身上也并不稀罕。最后再度提醒iOS与Mac用户,检测系统更新,并及时将系统升级到最新版本。

分享到:
意见反馈 值班电话:010-62675595保存  |  打印  |  关闭
猜你喜欢

看过本文的人还看过