苹果iOS曝出重大安全bug 危机波及其他厂商

　　网易手机讯 2月24日消息，据国外媒体报道，上周五苹果iOS曝出重大安全bug，目前，该漏洞的危害已经延伸到苹果浏览器以外，危及到包括Mail、Twitter、Facetime、iMessage在内的其他应用程序，甚至苹果的软件更新机制。尽管该公司声明将很快修复，但恐怕还需要一些时日。
　　先是苹果公司透露在实施iOS加密中存在严重bug，需要紧急修补。接着，研究人员在苹果的桌面OSX操作系统也发现了类似错误，同样存在一个巨大的网络安全漏洞，Safari浏览器用户的流量有被劫持的风险。现在，一位研究人员发现的证据表明，该漏洞的危害已经延伸到苹果浏览器以外，危及到包括Mail、Twitter、Facetime、iMessage在内的其他应用程序，甚至苹果的软件更新机制。
　　上周日，隐私研究员阿什坎·索坦尼（Ashkan Soltani）在Twitter上发布了OSX应用程序列表，他说，他准备利用苹果的“安全传输”的框架（即开发人员所依赖的编码库）建立一些程序，以便使用通用加密协议TLS和SSL进行安全的在线交流，完整的列表如下图所示。（索坦尼已经用红色将脆弱的应用程序特别标注出来。）
　　索坦尼是一位独立研究者，近期他的工作包括接受《华盛顿邮报》的委托，分析国家安全局泄密人员爱德华·斯诺登提供的监视文件。他警告说，列表上几个应用程序的安全已经受到严重损害，其中包括苹果的邮件程序Mail、调度程序Calendar，以及Twitter官方桌面客户端。该缺陷影响到苹果设备在验证身份时与服务器的连接，允许窃听者假冒用户，使用众所周知的“中间人”攻击方式核查或劫持流量。索坦尼说，“与上周五的情况一样，所有这些应用程序将轻而易举地被‘中间人’漏洞所利用。”
　　iMessage和FaceTime等一些受影响的应用程序已经提高了安全性，可以减少安全漏洞的影响，但索坦尼警告说，对iMessage即时消息应用程序来说，在苹果me.com网站的初始登录可能会受到影响，即使消息本身处于加密状态，同样的问题也可能存在于Facetime。“有一部分协议，例如初始的‘握手’应用需要依赖TLS，它们将很容易受到中间人的攻击，”索坦尼说。
　　同样令人不安的是苹果软件更新应用程序会受到影响，这意味着苹果向OSX机器推动新代码（包括安全更新）的机制可能将大打折扣。索坦尼指出，除了SSL和TLS，软件更新也需要在用户安装的任何代码上检查苹果的签名。但他补充说，代码签名保护不能阻止恶意软件绕过过去的更新、在受害者的计算机上安装间谍工具。
　　在安全社区里，苹果新发现的安全漏洞被称为“gotofail”，因为只要在苹果代码中使用“goto”命令就可以触发它。这一漏洞在上星期五苹果发布iOS安全更新时被公之于众。安全公司Crowdstrike和谷歌的研究人员迅速调集工程师对它进行修补，以便搞清楚这一漏洞对OSX可能造成的不利影响，并初步建议用户远离不可信任的网络、避免使用Safari浏览器，因为相对Chrome或Firefox等其他浏览器而言，Safari对苹果实施的SSL和TLS有着更大的依赖性。
　　不过，索坦尼的工作表明漏洞问题进一步呈现蔓延趋势，在苹果正式发布桌面软件补丁之前，用户可以用来进行安全通信的选项已经所剩无几。上周六苹果公司在一份发给《路透社》的声明中承诺，将“很快”完成修复工作。鉴于苹果的安全漏洞愈演愈烈的态势，修复补丁可能还需要一些时日。（斯眉）