苹果SSL/TLS连接验证漏洞和棱镜门有关?
作者: 日期:2014年02月28日 阅:3,883

BUG

安全牛点评:苹果的iOS和OSX系统先后爆出的gotofail安全漏洞其实只是一行多余的错误代码引发的。值得注意的是,这个低级漏洞最早出现在2012年发布的iOS6.0,与NSA棱镜计划泄密文档中,苹果加入棱镜计划的时间吻合。而苹果在NSA的文档中被称为“老大哥”。而操控、破坏和破解类似SSL/TLS这样的商业安全加密技术和标准,是NSA的BULLRUN和SIGINT两个项目的主要目标(和成果)。以下内容转自cnbeta

严重影响iOS和OS X系统的 SSL/TLS 连接验证漏洞最近成为热门话题。幸运的是iOS已经获得升级,但是OS X的升级迟迟未发布,目前原因不明。据路透社报道,OS X的这个漏洞只是仅仅一行代码发生错误导致的,那按理说,应该很容易修复啊。

因为这个SSL/TLS连接验证漏洞大大增加了苹果设备受到“中间人攻击”的风险,于是就有网站把它和美国NSA的棱镜门联系起来了。根据安全专家分析,SSL/TLS 连接验证漏洞最早在iOS 6.0时候就有了,iOS 5.1.1版本里没有这个漏洞。

jeffrey grossman

iOS 6.0是2012年9月发布的。根据斯诺登的文件,苹果公司大约也是在那个时候加入美国NSA的棱镜计划。那到底是谁把这行SSL/TLS 连接验证漏洞代码加入到iOS和OS X系统里的呢?NSA的卧底?还是苹果公司的软件工程师的无心之失?

prism-apple

因为有了这个SSL/TLS 连接验证漏洞的存在,NSA的人根本不需要直接去读iOS和OS X系统的源代码,只要设置一个中间人攻击服务器,让它自动去测试iOS 和OS X的新版本就行了。这样一来,苹果公司就“被迫”加入了棱镜计划。这也可以解释为什么苹果公司一再否认自己和NSA合作。

darkmalloc

不过一些著名的iOS越狱黑客认为,这么低级的SSL/TLS 连接验证漏洞更可能是人为故意破坏的,不是苹果公司的责任。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章