SSL sårbarhet i iOS (iPhone/iPad etc)

Apple-SSL-#fail

Ny information. Läs mer här!

Apple släppte i går en uppdatering till operativsystemet som återfinnes i bl.a. och iPad. Felet som åtgärdas med denna uppdatering är att det genomförs en bristfällig kontroll av värdnamnet i certifikatet stämmer överrens med det värdnamn dit anslutningen upprättas.

Detta kan illustreras genom följande exempel där vi först testar med  i Ubuntu Linux som misslyckas:

Linux

Och sedan på en Macbook Pro med version 10.9.1 (Mavericks) där anslutningen lyckas:

Mac OS X

IP-adressen 74.125.143.94 är www.google.se.

Rolig kommentar från Twitter av Christopher Soghoian:

 

Denna sårbarhet möjliggör för en angripare att exempelvis genomföra MITM attacker.

Uppdatering: För att förtydliga. Curl använder sig av Secure Transport (aka darwin-ssl) som genomför bristfällig kontroll av värdnamnet. Från Apples länk nedan:

Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.

Felet verkar enbart uppträda när ett IP-nummer används istället för värdnamn samt så påverkar även denna bugg Mac OS X.

Detta gäller således enbart anslutningar där IP-nummer används istället för värdnamn. Det är svårt att gissa hur många SSL-anslutningar som använder IP-nummer istället för värdnamn.

Exempel 2 gällande Apples bristfälliga SSL-validering

Du ansluter till https://1.2.3.4 men ett annat SSL-certifikat än för 1.2.3.4 returneras. Allt fungerar fortfarande bra. Oklart om det gäller självsignerade certifikat eller om hela certifikat-kedjan ändå verifieras.

Läs mer hos Apple här:

2 comments

  1. Krister Renaud

    Vad är det jag missar, ni skriver om ett säkerhetshål i iOS och illustrerar buggen genom att köra Curl på OSX?

    Att Curl tillåter att man kopplar upp sig mot en server med icke matchande certifikat utan att man angett parametern –insecure har väl knappast med iOS eller ens Apple att göra?

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>