Daniel Hruska Pipila ka adlaw ang milabay, gipagawas sa Apple ang ika-gatos Pag-update sa iOS 7.0.6, mahitungod sa pagpagawas nga among gipahibalo kanimo. Daghan tingali ang natingala nga ang update gipagawas usab alang sa mas karaan nga iOS 6 (bersyon 6.1.6) ug Apple TV (bersyon 6.0.2). Kini usa ka patch sa seguridad, mao nga ang Apple dili makahimo sa pag-update lamang sa usa ka bahin sa mga aparato niini. Dugang pa, kini nga isyu nakaapekto usab sa OS X. Sumala sa tigpamaba sa Apple nga si Trudy Muller, usa ka update sa OS X ang ipagawas sa labing madali.
Ngano nga adunay daghang hype nga naglibot sa kini nga update? Ang usa ka sayup sa kodigo sa sistema nagtugot sa pag-verify sa server nga laktawan sa luwas nga transmission sa relational layer sa ISO/OSI reference model. Sa piho, ang sayup usa ka dili maayo nga pagpatuman sa SSL sa bahin diin nahitabo ang pag-verify sa sertipiko sa server. Sa dili pa ako moadto sa dugang nga pagpatin-aw, gipalabi nako nga ihulagway ang sukaranan nga mga konsepto.
Ang SSL (Secure Socket Layer) usa ka protocol nga gigamit alang sa luwas nga komunikasyon. Nakab-ot niini ang seguridad pinaagi sa pag-encrypt ug pag-authenticate sa mga partido nga nakigsulti. Ang authentication mao ang pag-verify sa gipresentar nga pagkatawo. Sa tinuod nga kinabuhi, pananglitan, isulti nimo ang imong ngalan (identity) ug ipakita ang imong ID aron ma-verify kini sa laing tawo (authenticate). Ang authentication gibahin ngadto sa verification, nga usa lamang ka pananglitan sa usa ka national identity card, o identification, kung ang tawo nga gikuwestiyon makadeterminar sa imong pagkatawo nga dili nimo kini ipresentar sa iya daan.
Karon moadto ako sa makadiyot sa sertipiko sa server. Sa tinuud nga kinabuhi, ang imong sertipiko mahimo, pananglitan, usa ka ID card. Ang tanan gibase sa asymmetric cryptography, diin ang matag hilisgutan adunay duha ka yawe - pribado ug publiko. Ang tibuok nga katahum anaa sa kamatuoran nga ang mensahe mahimong ma-encrypt sa publiko nga yawe ug ma-decrypt sa pribadong yawe. Kini nagpasabot nga ang tag-iya lamang sa pribadong yawe ang maka-decrypt sa mensahe. Sa parehas nga oras, dili kinahanglan nga mabalaka bahin sa pagbalhin sa sekreto nga yawe sa duha nga nakigsulti nga mga partido. Ang sertipiko mao unya ang yawe sa publiko sa hilisgutan nga gidugangan sa kasayuran niini ug gipirmahan sa awtoridad sa sertipikasyon. Sa Czech Republic, usa sa mga awtoridad sa sertipikasyon, pananglitan, Česká Pošta. Salamat sa sertipiko, ang iPhone makapamatuod nga kini tinuod nga nakigsulti sa gihatag nga server.
Gigamit sa SSL ang asymmetric encryption kung maghimo usa ka koneksyon, ang gitawag nga SSL handshake. Niini nga yugto, ang imong iPhone nagpamatuod nga kini nakigsulti sa gihatag nga server, ug sa samang higayon, sa tabang sa asymmetric encryption, usa ka simetriko nga yawe ang natukod, nga gamiton alang sa tanan nga sunod nga komunikasyon. Ang simetriko nga pag-encrypt mas paspas. Sama sa nasulat na, ang sayup nahitabo na sa panahon sa pag-verify sa server. Atong tan-awon ang code nga hinungdan sa pagkahuyang niini nga sistema.
static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa,
SSLBuffer signedParams, uint8_t *signature, UInt16 signatureLen)
{
OSStatus err;
…
if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
goto fail;
if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
goto fail;
goto fail;
if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
goto fail;
…
fail:
SSLFreeBuffer(&signedHashes);
SSLFreeBuffer(&hashCtx);
return err;
}
Sa ikaduhang kondisyon if imong makita ang duha ka mga sugo sa ubos napakyas;. Ug kana ang babag. Kini nga kodigo unya hinungdan sa ikaduhang sugo nga ipatuman sa entablado kung ang sertipiko kinahanglan nga mapamatud-an napakyas;. Kini maoy hinungdan nga malaktawan ang ikatulo nga kondisyon if ug walay server verification sa tanan.
Ang mga implikasyon mao nga ang bisan kinsa nga adunay kahibalo sa kini nga kahuyangan mahimong maghatag sa imong iPhone og peke nga sertipiko. Ikaw o imong iPhone, maghunahuna ka nga nakigkomunikar ka nga naka-encrypt, samtang adunay tig-atake tali kanimo ug sa server. Ang ingon nga pag-atake gitawag pag-atake sa tawo-sa-tunga, nga halos gihubad sa Czech ingon pag-atake sa tawo-sa-tunga o tawo taliwala. Ang pag-atake nga naggamit niining partikular nga depekto sa OS X ug iOS mahimo lamang ipatuman kung ang tig-atake ug ang biktima anaa sa samang network. Busa, mas maayo nga likayan ang mga pampublikong Wi-Fi network kung wala nimo gi-update ang imong iOS. Ang mga tiggamit sa Mac kinahanglan nga mag-amping kung unsang mga network ang ilang gikonektar ug kung unsang mga site ang ilang gibisitahan sa mga network.
Dili kini katuohan kung giunsa ang usa ka makamatay nga sayup mahimo’g nahimo kini sa katapusan nga mga bersyon sa OS X ug iOS. Mahimong dili managsama nga pagsulay sa dili maayo nga pagkasulat nga code. Kini nagpasabot nga ang programmer ug ang mga tester masayop. Tingali kini dili mahimo alang sa Apple, ug busa ang mga espekulasyon nagpakita nga kini nga bug sa tinuud usa ka backdoor, ang gitawag. pultahan sa likod. Dili alang sa bisan unsa nga giingon nila nga ang labing kaayo nga mga backdoor morag maliputon nga mga sayup. Bisan pa, kini mga dili kumpirmado nga mga teorya lamang, mao nga atong hunahunaon nga adunay usa nga nasayop.
Kung dili ka sigurado kung immune ang imong sistema o browser sa kini nga bug, bisitaha ang panid gotofail.com. Sama sa imong makita sa mga hulagway sa ubos, ang Safari 7.0.1 sa OS X Mavericks 10.9.1 adunay bug, samtang sa Safari sa iOS 7.0.6 maayo ang tanan.
Pag-atake PINAAGI…. Dugay na kong wala'y ingon ka maayo, kinasingkasing nga katawa!
Bisan pa niana - Ako personal nga nakasabut niini isip usa ka mensahe gikan sa APPLE ngadto sa tanan nga mga tiggamit - bisan kini usa ka paagi o lain (ug wala ako maghunahuna nga labaw pa sa gihisgutan nga 2 nga mga posibilidad sa pagkahitabo niini nga sayup tinuod), ang duha usa ka yano nga pagbiaybiay sa mga ordinaryong tag-iya sa mga butang sa APPLE!
Salamat sa Dios nga husto ka.
Motuo ko nga kini tinuod nga sayop. Akong mahanduraw nga kini gimugna sa dihang naghiusa sa duha ka mga sanga sa versioning system, kung ang usa ka sanga usa ka linya nga mas taas. Bisan pa, kini usa pa ka kaso nga nagpamatuod nga ang pagpugos sa mga programmer nga ilakip bisan ang usa ka linya kung ang lawas sa usa ka bloke makatarunganon.
Salamat sa detalyado nga paghulagway!
Sorry sa pagsulat sa gawas sa diskusyon, apan karon nabasa nako sa idnes nga ang giingon nga mas dako nga iPhone kinahanglan nga tawgon nga iPhablet :-D hapit mawala.. :-D Greetings sa tanan nga mga mahigugmaon sa mansanas
….. Wow, ang pagkamamugnaon dili hinay-hinay nga nahanaw ….. basin pato lang!
Kumusta, naa ka bay mga isyu sa kinabuhi sa baterya pagkahuman sa pag-update? Nakakuha ako usa ka bag-o pagkahuman sa daghang mga reklamo bahin sa iP5, mao nga naa koy bag-ong baterya nga milungtad hapit duha ka adlaw. Human sa update, namatay akong phone sulod sa 8 ka oras ug dili na kaayo nako magamit.
Sa personal, wala ako nakarehistro sa bisan unsang problema sa flashlight. Oo sa nangagi bisan pa, ug ang usa ka backup ug limpyo nga pag-instalar sa iOS kanunay nga nakatabang. Hinaot makatabang ni nimo.
Gibuhat nako kana karon ug sa walay palad walay pagbag-o :-/