Taggat med: Recurity Labs

Felaktig certifikatkontroll i iPhone iOS

En allvarlig säkerhetsbugg har upptäckts i Apples mobiltelefon iPhone som använder operativsystemet iOS. Denna typ av attack upptäcktes för nio år sedan och har drabbat exempelvis webbläsaren Internet Explorer tidigare.

Denna bugg medger att någon kan göra en aktiv, oupptäckbar MITM (man-in-the-middle) attack mot TLS/SSL-krypterade anslutningar. För detta kan verktyget sslsniff användas som även uppdaterats.

Buggen hittades av Gregor Kopf (Recurity Labs) samt Paul Kehrer ( Trustwave’s SpiderLabs). Recurity Labs har genomfört granskningar av iOS på uppdrag av tyska myndigheten Federal Office for Information Security (BSI).

Mer information finns hos Apple, Sophos eller H-Online.

Uppdatering: Buggen är så klart fixad av Apple sedan iOS version 4.3.5 som släpptes för några dagar sedan.