Uppdatera dina iOS-enheter – dina kakor kan vara i fara!
Om du äger en iPhone eller iPad är chansen att du redan vet att det finns en uppdatering till iOS tillgänglig. Med några få tryck bör din enhet ladda ner iOS 9.2.1 som enligt Apple innehåller ett antal prestandaförbättringar och felkorrigeringar under huven.
Om du brydde dig om att läsa uppdateringsdialogrutan på din iDevice, har du sett att iOS 9.2.1 adresserar ett fel som orsakade huvudvärk för företag som använder Mobile Device Management.
Men det var naturligtvis inte det enda problemet som den nya versionen av iOS syftar till att lösa. Som forskare vid Skycure förklarar, hanterar iOS 9.2.1 en sårbarhet som potentiellt har lämnat iPhones och iPads öppna för missbruk under minst de senaste 2,5 åren.
Bristen, känd som CVE-2016-1730, beskrivs längst ner i Apples rådgivning om säkerhetsinnehållet i den nya versionen av iOS:
Webblad
Finns för: iPhone 4s och senare, iPod touch (5: e generationen) och senare, iPad 2 och senare
Effekt: En skadlig internportal kan ha tillgång till användarens cookies
Beskrivning: Det fanns ett problem som gjorde det möjligt för vissa portaler att läsa eller skriva cookies. Frågan togs upp genom en isolerad cookiebutik för alla portaler.
CVE-ID
CVE-2016-1730: Adi Sharabani och Yair Amit från Skycure
Från den korta beskrivningen kan det vara svårt att bestämma exakt vad problemet var, så jag ska göra mitt bästa för att förklara.
När du ansluter till Wi-Fi i ditt lokala kafé eller i flygplatsens avgångslounge, hittar du vanligtvis att din iPhone eller iPad omdirigeras till en speciell inloggningssida. Detta är känt som en “captive portal” och utlöses av att din enhet gör en begäran till webbadressen http://www.apple.com/library/test/success.html
Om begäran omdirigeras till en tredje parts sida vet Apple att leverantörerna av den trådlösa anslutningen har placerat en portal på plats och en dialogruta visas via en inbäddad webbläsare som ger dig möjlighet att logga in.
Än så länge är allt bra.
Men tillbaka i juni 2013 upptäckte Skycure att den inbäddade webbläsaren som användes för att visa fångstportaler hade en sårbarhet, där privata kakor som redan lagrats i användarens mobila Safari-webbläsare delades med fångportalen och vice versa.
Som Skycures Yair Amit förklarar, öppnar sårbarheten möjligheter för angripare att göra ett antal saker:
- Stjäl användarnas (HTTP) cookies som är associerade med en webbplats efter angriparens val. Genom att göra det kan angriparen sedan utge sig för offrets identitet på den valda webbplatsen.
- Utför en sessionsfixeringsattack, logga in användaren till ett konto som kontrolleras av angriparen – på grund av den delade Cookie Store, när offren surfar till den drabbade webbplatsen via Mobile Safari, kommer de att loggas in på angriparens konto istället för sina egna.
- Utför en cache-förgiftningsattack på en webbplats efter angriparens val (genom att returnera ett HTTP-svar med caching-rubriker). På detta sätt skulle angriparens skadliga JavaScript köras varje gång offret ansluter till den webbplatsen i framtiden via Mobile Safari.
Om det missbrukades kunde konsekvenserna uppenbarligen ha varit allvarliga.
Apple har uppenbarligen tagit 2,5 år för att lansera en lösning på detta problem, som Skycure först informerade dem i juni 2013. Enligt forskarna “det här är den längsta tid det har tagit Apple att åtgärda ett säkerhetsproblem som rapporterats av oss”, men de gör det erkänna att lösningen var “mer komplicerad än vad man skulle kunna föreställa sig” och att Apple var mottaglig och lyhörd för problemet.
Jag antar att vi alla måste vara tacksamma för att Skycure var tålmodig och inte frestades att offentliggöra bristen innan Apple hade lanserat en fix – även om det måste ha varit frustrerande ganska länge.
Eftersom, om Skycure hade agerat som vissa andra sårbarhetsforskare har gjort tidigare, råder det ingen tvekan om att denna brist kan ha utnyttjats i större utsträckning av skadliga hackare.
Om Graham Cluley
Graham Cluley är en prisbelönt säkerhetsbloggare, forskare och talare. Han har arbetat inom datasäkerhetsbranschen sedan början av 1990-talet, efter att ha varit anställd av företag som Sophos, McAfee och Dr Solomon’s. Han har talat om datasäkerhet för några av världens största företag, arbetat med brottsbekämpande organ för utredningar av hackingsgrupper och dyker regelbundet upp på TV och radio för att förklara datasäkerhetshot. Graham Cluley togs in i InfoSecurity Europe Hall of Fame 2011 och fick ett hedersomtal i de “10 största britterna i IT-historien” för sitt bidrag som en ledande myndighet inom internetsäkerhet. Följ honom på Twitter på @gcluley. Visa alla inlägg av Graham Cluley → Detta inlägg postades i Säkerhet & Sekretess, Säkerhetsnyheter och taggade Apple, cookies, CVE-2016-1730, iOS, iOS 9.2.1, integritet, sårbarhet. Bokmärk permalänken.