Normal

Apple-produkter med alvorlig sikkerhetsfeil

Selskapet har sendt ut en oppdatering for Iphone, Ipad og Mac-programvaren fordi mange produkter inneholdt en alvorlig feil som gjorde at ondsinnede personer kunne lure sikre tilkoblinger til alt fra nettbank til Facebook.

Iphone og iOS-oppdatering 7.0.6

OPPDATERING: En slik melding har nok mange fått opp på Iphone-skjermen sin i det siste, og nå viser det seg at det kan være veldig viktig å oppdatere.

Foto: Kim Kyung-Hoon / Reuters

Oppdateringen retter en feil som anses som veldig alvorlig.

Mange ulike nettjenester er helt avhengige av kryptering over SSL for å sikre trygg kommunikasjon som ikke kan overvåkes eller lures.

DNBs nettside med https på Iphone

HTTPS: For å kommunisere sikkert med viktige netttjenester som f.eks. nettbank er trygg kryptering viktig. Sikkerhetsfeilen kan gjøre at https-tilkoblinger ikke er så sikre som de burde.

Foto: skjermdump

For vanlige brukere gjenkjennes slik sikkerhet blant annet ved at man anbefales å sjekke at man besøker viktige nettsider som nettbanken via adresser som begynner på https, og har en hengelås for godkjent sikker tilkobling.

Sikkerhetsfeilen som er funnet i programvaren iOS og OS X for Apples produkter gjør at ondsinnede dataangripere i verste fall kan overvåke slik trafikk eller utgi seg for å være f.eks. nettbanken.

– Det er en så alvorlig feil man bare kan tenke seg. Det er alt jeg kan si, sier professor i kryptografi Matthew Green ved Johns Hopkins-universitetet til Reuters.

Kan angripe nettbank-oppkobling

Årsaken til sikkerhetsproblemet skal være at en sikkerhetssjekk av tilkoblingen over internett rett og slett ble hoppet over i Apples produkter.

Når for eksempel en Iphone koblet seg til en sikker nettside, som Facebook eller nettbanken, kunne det skje at en av de nødvendige sikkerhetskontrollene ikke ble gjort, men at telefonen likevel indikerte at alt var i orden med hengelås ved nettadressen til brukeren.

Datakriminelle kan i verste fall utnytte feilen til å angripe både tilkoblinger til nettsider og kontakten apper på telefoner og nettbrett har med systemene over internett.

Et slikt angrep vil dog kreve at angriperne har tilgang til nettverket enheten eller datamaskinen er på, eller kan komme seg inn på nettverket til bredbånds- eller teletilbydere, skriver Wired.

Derfor bør du oppdatere Iphone, Ipad og Mac med en gang

Fredag innrømmet Apple feilen i forbindelse med at de la ut oppdateringer av programvaren på sine nettsider.

– En angriper med tilgang til nettverket kan overvåke og manipulere data i oppkoblinger som skal være beskyttet av SSL/TLS, skrev Apple om sikkerhetsoppdateringen.

Feilen gjaldt Iphone og Ipad med programvaren iOS 6 og iOS 7, og i tillegg Mac-datamaskiner med programvaren OS X 10.9.

– Vi er klare over problemet, og har en fiks for programvaren på vei ut til forbrukerne, sier talskvinnen Trudy Muller i Apple til Reuters.

Nå er det sendt ut oppdateringer til Iphone og Ipad for å rette feilen. Siste og oppdaterte versjoner er iOS 7.0.6, iOS 6.0.2. Programvaren for Mac er ennå ikke oppdatert, og det anbefales å innføre ekstra varsomhet inntil den er på plass.

– Oppdater Apple-produktene dine så fort som mulig, og før du har fått gjort det bør du ikke bruke dem på usikre trådløse nettverk. Dette er spesielt viktig når du er ute på reise, skriver sikkerhetsrådgiver Alex Radocea i sikkerhetsanalyseselskapet Crowdstrike i en analyse av problemet.

Anbefalingen om å ikke koble telefon, nettbrett eller bærbar datamaskin til trådløse nettverk før du har fått oppdatert på et nettverk du har kontroll over og stoler på skyldes at risikoen der er større for at et faktisk angrep kan skje.

Iphone 5S med fingeravtrykksleser

FINGERAVTRYKK: Apple kom i fjor med en telefon med fingeravtrykksleser, og skrøt av sikkerheten. Nå har de måttet innrømme en alvorlig feil og rette den.

Foto: Andy Wong / Ap

Liten feil skapte stort problem

En ekspert på sikkerhet og kryptering hos Google har analysert årsaken til problemet.

Han fant ut at grunnen til den alvorlige feilen er en svært liten feil i koden til programvaren – litt kodetekst var gjentatt to ganger og førte til at en sikkerhetssjekk ble hoppet over.

– Denne formen for små kodefeil langt nede i kildekoden til programvaren er et mareritt, skriver krypteringsekspert Adam Langley i Google i et blogginnlegg der han analyserer feilen i detalj.

Før detaljene var kommet fram om hva det faktisk var som var funnet av svakheter i Apples produkter gikk spekulasjonene høyt på nettet.

Noen mente at feilen kunne være rester av åpninger Apple hadde plassert der selv i forbindelse med overvåkingsskandalen om NSA og Snowden.

Dette fordi en slik feil akkurat ville gi NSA store muligheter siden de skal kunne overvåke nettverk som er nødvendig for å utnytte feilen. I Snowden-dokumentene har det også vært beskrevet hvordan NSA selv skrøt av å kunne bryte seg inn i omtrent alle Iphone-telefoner.

Google-ekspert Langley tror derimot at det her er snakk om en flau tabbe fra programmererne i Apple.

– Jeg tror dette bare er en tabbe, og jeg føler virkelig med den eller de som har surret det til og skapt dette problemet, skriver han.