Apple slapp sent fredag en oppdatering til iOS som retter en kritisk sårbarhet (CVE-2014-1266) i selskapet SSL/TLS-implementering.

Oppdateringen antydet at noe var forferdelig galt, men Apple ga ingen detaljer. Raskt ble det kjent at kildekoden til Apple inneholdt en dobbeltoppføring, én ekstra kodelinje med «goto fail;» som i praksis knekker SSL-krypteringen. Nettstedet Imperial Violet beskriver dette nærmere.

– Det gjøres ingen sjekk av gyldigheten på sertifikat eller hvem det er utstedt av. Hvem som helst kan sette opp en server som sier «hei, jeg er Facebook» uten at noen alarmer går av, sier uavhengig sikkerhetsekspert Per Thorsheim til digi.no.

Bakdør eller tabbe
Thorsheim har observert andre eksperter som i helgen har debattert om hvorvidt feilen fra Apple kan anses som «tidenes verste copy-paste-tabbe», eller en intrikat og bevisst plantet bakdør.

– Skulle noen har plantet en bakdør i kildekoden, så måtte det være noe som dette, mener noen. Jeg vet ærlig talt ikke hva jeg skal tro eller tippe, om det er tidens copy-paste-feil eller en tabbe utført av en trøtt programmerer som har fått litt for lite kaffe, sier Thorsheim.

Har du en iPhone eller iPad er det bare å skynde seg å oppdatere, for feilen gjør det enkelt å servere deg falske sertifikater, og lansere såkalte «man-in-the-middle»-angrep og avlytte ellers krypterte dataforbindelser.

Feilfiksen retter problemet i iOS, men i løpet av helgen ble det avslørt at også Mac OS X er berørt av det samme. Der foreligger det i skrivende stund ingen fiks fra Apple.

– Sårbarheten bør anses som alvorlig. Grunnen er at applikasjoner som f. eks. nettleser eller e-postklient, potensielt kan etablere krypterte koblinger som man ikke kan stole på. Dette betyr at sårbarheten kan gi en angriper muligheten til å lese eller endre informasjonen som ønskes beskyttet, sier sikkerhetsekspert Juan J. Güelfo i Ålesund-baserte Encripto til digi.no.

Han har spesialisert seg blant annet på TLS/SSL og har tidligere avdekket svake implementeringer av krypteringstandarden i norske nettbanker, men aldri noe i nærheten av det Apple her har gjort.

Utnyttelse av feilen krever ifølge ham at angriperen må være plassert i samme nettverk som den sårbare enheten. Enten i samme WiFi-nett eller samme mobile nettverk.

– Denne sårbarheten er attraktiv for angripere, siden dette kan gi tilgang til viktig/sensitiv informasjon, som eksempelvis brukernavn og passord, kredittopplysninger, innhold av e-poster og så videre. Enheter som kobles til offentlige nettverk vil være mest utsatt for risiko, da disse nettverkene samler et større antall brukere, fortsetter Güelfo.

Matthew D. Green som underviser i kryptering ved Johns Hopkins University i delstaten Maryland, USA er blant de som har omtalt hendelsen i sosiale medier denne helgen. Han er forferdet.

So at this moment it may be possible to eavesdrop/inject data into secure connections made by like 99% of the iOS devices in the world?

— Matthew Green (@matthew_d_green) February 21, 2014

– Det har vært sårbarheter også i SSL tidligere, men Green er tydelig på at dette er noe av det mest sinnssyke han har sett, sier Per Thorsheim.

– Apple er som en stum østers
Thorsheim er ekstra kritisk til hvordan Apple har håndtert hendelsen. Ifølge ham sjokkerte de ved å slippe en feilfiks sent fredag, altså i det folk er i ferd med å ta helgen. Faren for at sårbarheten da utnyttes blir desto større, mener han.

– Det finnes ennå ingen fiks til OS X. Dette berører blant annen mailklienten på Mac, men også kalender, nettleseren Safari og så videre. Patchen er veldig kritisk. Det er bra den kommer ut, men at den slippes til iOS på en fredag ettermiddag helt uten noe form for forvarsel vil jeg si er dårlig.

Inntil Apple får utgitt en nødfiks også til OS X, er rådet hans at alle Mac-brukere unngår all bruk av Safari og mailklienten. Inntil videre bør man bruke Google Chrome, som har en egen SSL/TLS-implementering uten denne feilen.

– Microsoft og Oracle, kanskje Microsoft i særdeleshet er langt flinkere til å varsle kundene om at det kommer en kritisk feilfiks. Som Matthew Green selv har sagt, hvis man finner en feil i Google Chrome eller Firefox vet man hvem man skal kontakte. Apple er bare en stum østers, sier Per Thorsheim.

Apple sier i en kort kommentar til nyhetsbyrået Reuters lørdag at «de er kjent med problemet og allerede har en programvarefiks som snart blir utgitt».