Recentemente, Apple ha rilasciato un aggiornamento iOS per risolvere un bug con la sua implementazione SSL, che consentirebbe a un individuo malvagio sulla stessa rete locale del computer di intercettare informazioni sensibili, come la cronologia di navigazione sul web. Su OS X però c’è ancora un rischio.

ssl mac

 

Questo tipo di attacco, chiamato un attacco di tipo “man-in-the-middle”, è possibile perché nelle ultime versioni di OS X e iOS ( fino alla versione 7.0.5 ), il sistema operativo non controlla la firma del messaggio Key Exchange Server TLS, consentendo a una terza parte di simulare una chiave privata o semplicemente ometterla e intercettare i dati SSL. Poiché i dati criptati SSL vengono utilizzati per le informazioni sensibili, come documenti finanziari e medici, questo potrebbe dare a qualcuno l’accesso ai dati se si ci connette su una rete pubblica o comunque condivisa.

Apple ha rilasciato una correzione per questo problema su iOS con la versione 7.0.6, che è stata rilasciata lo scorso Venerdì; tuttavia, questo risolve solo il problema in iOS e non in OS X. Apple ha detto che una correzione sarà presto disponibile anche per il sistema operativo desktop, ma finora non ha menzionato una data di uscita. Nell’attesa dell’update, fino ad allora è possibile adottare misure alternative per garantire che il sistema sia al sicuro.

1. Utilizzare un browser patchato
Questo problema riguarda il browser Safari di Apple, e può influenzare anche versioni di Chrome in esecuzione su versioni beta di OS X. Pertanto, fino a quando una correzione non viene rilasciata si potrebbe utilizzare Firefox, che è stato ritenuto sicuro da questo bug. È possibile verificare qualsiasi browser si utilizzi andando a questo sito, che eseguirà un test e vi comunicherà se i dati SSL del browser possono essere intercettati.
2. Evitare di reti pubbliche
Anche se questo problema esiste, può essere dannoso soltanto se il “malintenzionato” si trova sulla stessa rete locale nella quale siete connessi. Pertanto, se si utilizza una rete pubblica come quelli nei caffè o nelle librerie, assicuratevi di utilizzare un browser patchato, o evitate l’accesso ai servizi bancari e altri siti con dati sensibili da queste reti.

via