Apple 2,5 roku zwlekało z załataniem groźnej luki. Jak najszybciej instalujcie iOS 9.2.1

Udostępniony właśnie iOS 9.2.1 łata groźną lukę, o której Apple wiedziało podobno od 2,5 roku.

Apple wydało właśnie iOS 9.2.1, w opisie którego czytamy m.in., że "poprawia bezpieczeństwo i naprawia błędy". Oczywiście cieszy, że amerykańska firma dba o bezpieczeństwo swoich klientów. Czy jednak faktycznie porządnie się do tego przykłada? Najnowsze informacje, którymi podzielili się Adi Sharabani i Yair Amit (z firmy Skycure), niestety podają to w wątpliwość. Wynika z nich bowiem, że wraz z udostępnieniem iOS 9.2.1 usunięta została luka, o której obaj panowie informowali amerykańską firmę już...2,5 roku temu.

Co to za luka?

Adi Sharabani i Yair Amit odkryli, że miejsce, w którym iOS przechowuje ciasteczka jest współdzielone przez mobilną przeglądarkę Safari oraz okno, które często wyświetlane jest przez darmowe sieci WiFi (np. w hotelach), aby użytkownik urządzenia mógł dokonać logowania za pośrednictwem interfejsu HTTP. To zaś może być wykorzystane przez hakerów do kradzieży wszystkich ciasteczek. Wystarczy, że użytkownik iOS połączy się z siecią WiFi kontrolowaną przez atakującego.

Wg badaczy luka pozwala atakującemu m.in. na zalogowanie ofiary na kontrolowane przez niego konto oraz skorzystanie z groźnej techniki "cache poisoning" (zatruwanie DNS) pozwalającej na wstrzyknięcie do systemu złośliwego kodu Javascript podczas korzystania z Mobile Safari.

Adi Sharabani i Yair Amit zalecają jak najszybsze zaktualizowanie iOS. Dzięki wprowadzonym przez Apple poprawkom (w końcu!) ciasteczka wyskakujących okien logowania przechowywane są w osobnym miejscu.


Zobacz również