Tanto o OS X quanto o iOS são conhecidos por serem sistemas operacionais mais seguros do que seus concorrentes, mas a semana não foi fácil para a Apple nesse quesito.
Na sexta-feira passada comunicamos a chegada do iOS 7.0.6/6.1.6 — e do Apple TV 6.0.2 —, que foi liberado justamente para corrigir um problema na verificação da conexões SSL. Mas o que é isso, afinal?
Resumidamente, a secure sockets layer (em português, camada de sockets segura) — ou seu sucessor, o TLS (transport layer security, ou segurança da camada de transporte) — são protocolos criptográficos que dão segurança de comunicação na internet para serviços como email (SMTP), navegação por páginas (HTTPS) e outros tipos de transferência de dados.
Segurança, via Shutterstock.
O problema é que pesquisadores descobriram que essa mesma vulnerabilidade corrigida pela Apple no iOS está presente também no OS X, deixando usuários de Macs expostos a malfeitores que poderiam interceptar a comunicação entre navegadores afetados e sites protegidos por SSL/TSL.
Visitando este site é possível saber se o sistema/navegador utilizado por você está ou não afetado pelo problema — em meus testes, o Safari 7.0.1 foi reprovado enquanto o Firefox 27.0.1 e o Chrome 33 não apresentaram problemas; porém alguns apps (não necessariamente navegadores) também se comunicam com sites protegidos por SSL/TLS e, consequentemente, podem estar afetados pela brecha.
A falha é grave e, por mais que a empresa tenha corrigido tudo no iOS 7.0.6/6.1.6/Apple TV 6.0.2, tanto o atual OS X 10.9.1 quanto as versões beta do sistema móvel (iOS 7.1) e do desktop (OS X 10.9.2) ainda apresentam o problema.
A Apple já confirmou que liberará uma atualização em breve. Muitos apostam que isso acontecerá ainda hoje, mais tardar amanhã. Enquanto isso, é bom você se proteger e fazer a sua parte (utilizando o Firefox/Chrome e evitando aplicativos os quais se comunicam diretamente com protocolos SMTP, HTTPS, entre outros) e evitar conexões Wi-Fi públicas.
Vale notar ainda que a Apple foi bacana com jailbreakers e não embutiu no iOS 7.0.6 nenhuma correção para os exploits da ferramenta evasi0n. Desta forma, ela já foi atualizada e continua funcionando normalmente; a única recomendação é aplicar o update do iOS via iTunes, e não OTA (over-the-air).
[via Reuters]
Atualização · 24/02/2014 às 10:31
Ashkan Soltani, pesquisador independente envolvido na descoberta da vulnerabilidade, listou mais aplicativos para OS X — além do Safari — os quais devem ser evitados (ao menos em redes Wi-Fi públicas) até que tudo seja corrigido pela Apple. São eles: Calendário, FaceTime, Keynote, Twitter, Mail, iBooks e Atualização de Software (Software Update).
Essa não é uma lista completa — outros apps podem também se comunicar com sites protegidos por SSL/TLS. Caso novos sejam descobertos, atualizaremos essa lista.
Numa nota relacionada, o hacker Ryan Petrich disponibilizou um pacote para usuários de iGadgets jailbroken (que não estão no iOS 7.0.6) o qual corrige o problema de segurança. Intitulado SSLPatch, ele está disponível no repositório de Petrich.
[via Gizmodo, iClarified]