'Secure Transport' Apple toch niet zo heel erg veilig

De fout zit volgens insiders op een diep niveau in de basale code van Apple's 'Secure Transport Library' verborgen. Door de fout wordt niet gecontroleerd of de partij waarmee gecommuniceerd wordt ook werkelijk de vertrouwde site is, en niet een zogeheten 'man in the middle' die zich voordoet als zijnde de vertrouwde site. De software zet dan een keurige SSL-verbinding op met de verkeerde partij, die daartoe dan wel moet beschikken over een door een trusted third party afgegeven certificaat.

Redactie AG ConnectMeer van deze auteur

Maar zo'n SSLcertificaat is in de regel vrij eenvoudig te verkrijgen. Lastiger voor de hacker is dat hij om een 'man-in-the-middle'-rol aan te nemen, over tamelijk vergaande rechten op het gebruikte netwerk moet beschikken. Dat betekent dat deze vorm van inbreuk ('MITM') in de praktijk vrijwel uitsluitend optreedt op malafide hotspots of andere dubieuze wifi-netten.

Ook apps van derden in het geding

De kwetsbaarheid in de software van Apple strekt aanmerkelijk verder dan alleen de browser, waarvan de meeste mensen het secure socket layer- of SSL-protocel kennen. Ook tal van applicaties maken er gebruik van. Apple's eigen applicaties Mail, FaceTime, Calendar, Keynote, iBooks en App Store vertrouwen er op. Daarnaast zijn er ook diverse applicaties van derden die gebruik maken de Secure Transport Library, die Apple sinds iOS 6 en OS X 10.9 meelevert. Er zijn wel alternatieve SSL/TLS-bibliotheken, zoals OpenSSL. Maar die kunnen alleen door de ontwikkelaars van de betreffende applicaties worden ingeschakeld. Het is te verwachten dat meesten van hen die moeite niet gaan nemen en in plaats daarvan afwachten tot Apple ook met een bijgewerkte Secure Transport Library voor OS X op de proppen komt. Die kan de gebruiker dan natuurlijk wel het beste maar even via een vertrouwd wifi-net downloaden.

Update: Apple heeft inmiddels ook voor OS X een patch voor deze kwetsbaarheid uitgebracht.

Device as a Service: zorgeloze basis voor de moderne werkplek

De moderne werkplek bevat veel slimme software om het werk van mensen makkelijker en efficiënter te maken.

4 min

Achtergrond Podcast Managed Services Partner

Podcast | De evolutie van Managed Services

Bas van Baalen gaat in gesprek met Rick Haas, Managed Services Director bij PQR, over de transformatie van Managed Services.

1 min

Achtergrond Cyber Resilience Act Partner

Cyber Resilience Act - succesformule of showstopper?

Hoe ver gaat de invloed van de Cyber Resilience Act en is het een succesformule of showstopper?

4 min

Meer whitepapers

Whitepaper Artificial Intelligence

Infographic: Is jouw organisatie AI-proof?

Hoe integreer je AI in je bedrijfsvoering? Deze infographic toont de belangrijkste stappen om een AI-proof organisatie te worden.

Whitepaper Datamanagement

Het strategisch belang van master data management voor de moderne organisatie

Op zoek naar de sleutel tot effectief data management? Transformeer jouw datamanagementstrategie met het stappenplan uit dit whitepaper.

Whitepaper Artificial Intelligence

Transformeer je datastrategie en versnel AI-innovatie

Transformeer je datastrategie met Microsoft Fabric en versnel innovatie. Ontdek de voordelen, praktische roadmap en cases in dit whitepaper.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee