Operačné systémy od spoločnosti Apple sa všeobecne považujú za najbezpečnejšie. Dokonca až tak, že niektorí užívatelia ani necítia potrebu nainštalovať si antivírusový program, veď pre nich stále platí mylná premisa, že na Apple vírusy neexistujú. Na druhej strane, nič nie je dokonalé. Adam Langley, známy expert pracujúci pre Google analýzou zdrojových kódov zistil, že autorizácia serverov pomocou SSL je prakticky nefunkčná.
V skratke, funkcia SSLVerifySignedServerKeyExchange kontroluje správnosť podpisu, ktorým sa v správe ServerKeyExchange autorizuje server, na ktorý ste práve vstúpili. Tento podpis potvrdzuje, že na druhej strane je skutočne server, na ktorý ste chceli ísť a nie nejaký útočník. Používa sa pri šifrovacích algoritmoch DHE a ECDHE. Problém sa našťastie nevyskytuje pri využívaní TLS 1.2.
Teoreticky by sa teda hypotetický útočník mohol vydávať za akýkoľvek server, vrátane stránok bánk, e-mailov a všetkého, na čo si len spomeniete. Autorizácia pomocou SSL bola vyradená z činnosti a zariadenie vás neupozornilo, že kryptografický podpis nesedí a vy sa nachádzate na neautorizovanej stránke, ktorá pre vás môže znamenať potenciálne nebezpečenstvo.
Táto chyba sa vyskytovala minimálne od verzie iOS 6 a OS X 10.9. Apple okamžite vydal aktualizácie na iOS 6.1.6 a iOS 7.0.6, OS X príde na rad v priebehu niekoľkých dní. Aktualizáciu odporúčame okamžite nainštalovať, a na Macoch zatiaľ používať iba prehliadače Chrome a Firefox, ktoré využívajú SSL/NSS. Na čas sa radšej vyvarujte ostatných aplikácií.
Ak máte OS X a nemôžete čakať niekoľko dní na oficiálnu aktualizáciu, môžete si svojpomocne nainštalovať neoficiálny binárny kód, odporúčame to však robiť iba skúsenejším používateľom.
Zdroj: dsl
