Apple heeft flink geblunderd met een veiligheidslek in iOS en OS X. Voor die eerste was al een fix, zojuist is er ook een pleister voor OS X uitgebracht.
Versleutelfaal
Door de bug kon een zogenaamde man-in-the-middle-aanval plaatsvinden op bijvoorbeeld openbare wifi-spots. De fout zat in certificaten voor SSL (secure socket layer) en TLS (transport layer security). Twee protocollen waarbij de communicatie versleuteld wordt tussen je computer en de sites die je bezoekt. Hierbij wordt gebruik gemaakt van een publieke en een private sleutel. Doel is dat het door deze versleuteling onmogelijk wordt om de communicatie af te luisteren zonder die twee sleutels.
Zaterdag bleek dat Apple de code had verprutst. De procedure die moet nagaan of de publieke sleutel wel getekend is door de private sleutel werd overgeslagen. Een lek dat er al zo’n anderhalf jaar zat. Hierdoor kon je internetverkeer vanaf een Mac door derden worden ontcijferd. Het lullige programmeerfoutje zou te wijten zijn aan een simpele “goto” commando. Ergo: kwaadwillenden met verhoogde netwerkrechten konden dankzij dit lek in SSL/TLS de boel omzeilen en je bezoeken aan Facebook, webmail-diensten en internetbankieren zien.
OSX update 10.9.2
Met de zojuist uitgebrachte update voor OS X, Apple’s besturingssysteem voor desktops en laptopcomputers, is de blunder in de code weer gepleisterd. Al laat Apple dat in de omschrijving van de update grotendeels achterwege. Ze hebben het vooral over andere updates zoals FaceTime Audio; je kunt met je Mac nu audiogesprekken voeten met iPhone- en iPad-gebruikers.
“Een nauwkeuriger opgave van het aantal ongelezen berichten in Mail”
Ermm… Nog nooit last van gehad.