Apple gebruikers zijn gewaarschuwd om niet via onbetrouwbare wifi-netwerken hun software en systeem te updaten, aangezien een aanvaller kwaadaardige updates zou kunnen aanbieden. Daarvoor waarschuwen twee onderzoekers nadat Apple een ernstig lek in iOS bekendmaakte.

Volgens de onderzoekers speelt het probleem niet alleen bij iOS, maar lopen ook Mac-gebruikers risico. Vrijdag kwam Apple opeens met een update voor iOS en Apple TV. Er bevond zich een beveiligingslek in iOS waardoor kwaadwillenden de met SSL-beveiligde verbindingen van iPhone- en iPad-gebruikers konden afluisteren. Het probleem werd veroorzaakt doordat de authenticiteit van de verbinding niet werd gecontroleerd.

Hierdoor zou een aanvaller zich tussen de gebruiker en een website of internetdienst kunnen plaatsen, om vervolgens het verkeer te onderscheppen zonder dat de gebruiker gewaarschuwd zou worden. Apple liet in de beveiligingsbulletins weten dat het probleem is verholpen door de ontbrekende controles weer te herstellen. Dat suggereert dat de controles er eerst wel waren.

Noodpatch

Volgens Alex Radocea van beveiligingsbedrijf CrowdStrike gaat het om noodpatches van Apple. Radocea onderzocht de iOS-patches en stelt dat hetzelfde probleem ook in Mac OS X aanwezig is. Hij verwacht dat Apple dan ook snel met een update voor dit platform zal komen. De onderzoeker laat verder weten dat het probleem verder gaat dan alleen het afluisteren van de internetverbinding. Veel automatische updatetools van programma's maken via SSL verbinding. In dit geval zou een aanvaller die zich tussen de gebruiker en het internet plaatst een kwaadaardige update met malware kunnen verspreiden, zonder dat de updatetool dit merkt.

Als extra beveiliging controleren sommige updatetools de geldigheid van een aangeboden update, maar niet allemaal. Zo bleek onlangs dat de populaire Android-ROM CyanogenMod deze controle niet uitvoert. Radocea adviseert gebruikers van een Apple-toestel om de beschikbare updates zo snel als mogelijk te installeren, maar dit niet via onbetrouwbare wifi-netwerken te doen. Op ongepatchte mobiele toestellen en laptops moeten gebruikers dan ook de "Ask to Join Networks" optie uitschakelen. Dit voorkomt dat er een pop-up verschijnt die vraagt om met onbetrouwbare wifi-netwerken verbinding te maken.

Onderzoeker Adam Langley merkt op dat gebruikers van Firefox en Google Chrome op een Apple-toestel minder risico lopen, aangezien de browsers de SSL-verbiding niet via het kwetsbare onderdeel van Apple opzetten. Ook Langley waarschuwt dat dit weinig uitmaakt als de updatetools op het systeem wel via het kwetsbare onderdeel verbinding maken en een aanvaller het systeem op die manier alsnog kan aanvallen.

Aan de hand van zijn eigen analyse denkt Langley dat het probleem waarschijnlijk in Mac OS X 10.9 is geïntroduceerd en in verschillende versies van iOS 6 aanwezig is geweest totdat Apple het vrijdag patchte. Tegenover persbureau Reuters laat Apple weten dat het snel met een update voor Mac OS X zal komen.