Felaktig certifikatkontroll i iPhone iOS

En allvarlig säkerhetsbugg har upptäckts i Apples mobiltelefon iPhone som använder operativsystemet iOS. Denna typ av attack upptäcktes för nio år sedan och har drabbat exempelvis webbläsaren Internet Explorer tidigare.

Denna bugg medger att någon kan göra en aktiv, oupptäckbar MITM (man-in-the-middle) attack mot TLS/SSL-krypterade anslutningar. För detta kan verktyget sslsniff användas som även uppdaterats.

Buggen hittades av Gregor Kopf (Recurity Labs) samt Paul Kehrer ( Trustwave’s SpiderLabs). Recurity Labs har genomfört granskningar av iOS på uppdrag av tyska myndigheten Federal Office for Information Security (BSI).

Mer information finns hos Apple, Sophos eller H-Online.

Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.

Jonas Lejon

Om Jonas Lejon

Driver företaget Triop AB och jobbar med kryptering och IT-säkerhet sedan 15 år. Kontakta mig gärna på telefonnummer 010 1018099 eller jonas.kryptera@triop.se om ni behöver hjälp med kryptering eller IT-säkerhet.

En kommentar

  1. Early Adopter

    ”Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.”

    Version 4.x stöds inte på iPod touch (generation 1) och Apple har, så klart, inte släppt någon fix till iOS 3.1.3. Märkligt tyst faktiskt, wifi och ssl finns på den med.
    Dags att lära sig av uppstickaren Microsoft, nu när det är ni som är de stora grabbarna, Apple?

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>