İOS için WiFi KRACK güvenlik açığı düzeltildi mi?

41

WPA2'de The Guardian makalesinde açıklandığı gibi KRACK (Anahtar Yeniden Yükleme Saldırısı için kısa) adlı yeni bir güvenlik açığı var: ' Tüm WiFi ağları' güvenlik uzmanı tarafından keşfedilmeye karşı saldırıya açık durumda '

Makaleye göre:

Güvenlik açığı, Android, Linux, Apple , Windows, OpenBSD, MediaTek, Linksys ve diğerleri dahil olmak üzere çok sayıda işletim sistemini ve cihazı etkiliyor .

Bunu düzeltmek için iOS için herhangi bir güvenlik bülteni var mı?

ios  wifi  security 
dwightk
kaynak
5
Seçmenleri kapat: Bu soru kesinlikle burada. Güvenlik açığı yönetiminin içsel çalışmasına aşina değilseniz, araştırması zordur - temel olarak, neyin farkında olmadığınızın farkında değilsiniz.
Allan
5
AirPort ürün yazılımı güncellemeleri eşit derecede önemli olacak!
self.name

Yanıtlar:

32

Güncelleme 31 Ekim 2017

Apple, macOS, iOS, tvOS ve watchOS için KRACK güvenlik açığı için bir düzeltme içeren güncellemeler yayınladı. Güncellemeleri almak için:

  • macOS High Sierra 10.13.1 ve Sierra & El Capitan için güvenlik güncellemeleri -
    App Store'u başlatın ve Güncellemeler sekmesini seçin.
  • iOS 11.1 -
    Ayarlar> Genel> Yazılım Güncelleme bölümüne gidin
  • watchOS 4.1 -
    iPhone'unuzda Watch uygulamasını başlatın, ardından Genel> Yazılım Güncelleme bölümüne gidin.
  • tvOS 11.1 -
    Apple TV 4 (ve 4K) için Ayarlar> Sistem> Yazılım Güncellemeleri bölümüne gidin ve Yazılımı Güncelle öğesini seçin.
    Apple TV için (2. / 3. nesil) Ayarlar> Genel> Yazılım Güncelleme bölümüne gidin.

Apple'ın eklenmesi yalana kadar güvenlik açıkları hakkında yorum yapmamak, ve yaptıklarında bile çoğu zaman bu konuda oldukça belirsizdir.

Apple güvenlik güncellemeleri hakkında

Müşterilerimizin korunmasına yönelik olarak, Apple, bir soruşturma tamamlanıp yamalar veya sürümler kullanıma sunuluncaya kadar güvenlik konularını ifşa etmez, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmiştir .

Bununla birlikte, küçük bir dedektiflik çalışması ile biraz içgörü kazanabiliriz. Baktığımızda bu özel güvenlik açığının atanan CVEs , * yalnızca bazı sorunlar listeleme alabilirsiniz gerektiğini bir güvenlik yaması sorunu karar verirken Apple tarafından ele alınması:

  • CVE-2017-13077: İki yönlü şifreleme anahtarının (PTK-TK) 4 yönlü el sıkışmasında yeniden kurulması.
  • CVE-2017-13078: Grup anahtarının (GTK) 4 yönlü el sıkışmasında yeniden yüklenmesi .
  • CVE-2017-13079: 4 yollu el sıkışmasında bütünlük grubu anahtarının (IGTK) yeniden yüklenmesi.
  • CVE-2017-13080: Grup anahtarının (GTK) grup anahtar el sıkışmasında yeniden kurulması.
  • CVE-2017-13081: Grup anahtarı el sıkışmasında bütünlük grubu anahtarının (IGTK) yeniden yüklenmesi.
  • CVE-2017-13082: Yeniden iletilmiş bir Hızlı BSS Geçiş (FT) Yeniden İlişkilendirme İsteğini Kabul Etme ve işlerken çift şifreleme anahtarını (PTK-TK) yeniden yükleme isteği.
  • CVE-2017-13084: STK anahtarının PeerKey el sıkışmasında yeniden yüklenmesi.
  • CVE-2017-13086: Tünel Doğrudan Bağlantı Kurulumu (TDLS) PeerKey (TPK) anahtarının TDLS el sıkışmasında yeniden yüklenmesi.
  • CVE-2017-13087: Kablosuz Ağ Yönetimi (WNM) Uyku Modu Yanıtı çerçevesi işlenirken grup anahtarının (GTK) yeniden yüklenmesi.
  • CVE-2017-13088: Bir Kablosuz Ağ Yönetimi (WNM) Uyku Modu Yanıtı çerçevesi işlenirken bütünlük grubu anahtarının (IGTK) yeniden yüklenmesi.

Ayrıca, bu ZDNet Makalesi - İşte şu anda mevcut KRACK Wi-Fi güvenlik açığı için her düzeltme eki (16 Ekim 2017), sağlayıcıların hızlı bir şekilde yanıt verdiğini ve Apple'ın yamaların beta olduğunu onayladığını gösteriyor.

Apple, iOS, MacOS, WatchOS ve TVOS için beta sürümünde bir düzeltme yaptığını doğruladı ve birkaç hafta içinde bir yazılım güncellemesinde piyasaya süreceğini açıkladı.

* Ortak Güvenlik Açıkları ve Etkilenmeler (CVE®), herkesin bildiği siber güvenlik açıklarının ortak tanımlayıcılarının bir listesidir. Tüm dünyadan CVE Numaralandırma Yetkilileri (CNA'lar) tarafından atanan "CVE Tanımlayıcıları (CVE ID)" nin kullanımı, benzersiz bir yazılım güvenlik açığı hakkında bilgi tartışmak veya paylaşmak için kullanıldığında taraflar arasında güven sağlar, araç değerlendirmesi için bir temel sağlar, ve siber güvenlik otomasyonu için veri değişimini mümkün kılar.

Allan
kaynak
2
Bunu test etmek için can atıyorum; Düzeltmelerin belgelenmesinin olmaması etkili bir şekilde düzeltmelerin bulunmadığının kanıtı olabilir, ancak Apple onları açık konulardan uzaklaştırmak için wannabe krakerlerinde psikolojik püf noktaları oynuyor olabilir. (Tabii ki, Apple sorunu çözene kadar bulgularımı paylaşmam.)
wizzwizz4
11

İMore'un baş editörü Rene Ritchie, bu güvenlik açığının mevcut tüm macOS, watchOS, tvOS ve iOS beta'larında düzeltildiğini bildirdi .

Güncellemeler gönderilinceye kadar, birçok güvenlik blogu, Wi-Fi üzerinden iletilen tüm bilgileri korumak için VPN ve SSL ile korunan sitelerin kullanılmasını önerir.

SSL, KRACK saldırısından veri güvenliğini garanti etmese de, bu durumu oldukça zorlaştırmaktadır. Bununla birlikte, KRACK şifrelemeden önce verilere erişebilecek kadar derinlemesine erişim kazanır.

vykor
kaynak
2
Fakat lütfen ücretsiz ya da güvenilmeyen VPN kullanmayın, bu sadece bir tehdit için başka bir ticaret yapacaktır
Steve
1
Evet. Bu VPN hattı bir editör tarafından orjinal postama eklendi. Şahsen kullanmadığım hiçbir VPN'ye kendi sunucumdan güvenmemeliydim.
vykor
Sizin düzenlemenizin olmadığını gördüm, fakat sadece geçen herkes için bir not eklediğimden emin olmak istedim :)
Steve
1
“Bununla birlikte KRACK, şifreleme öncesinde verilere erişebilecek kadar derinlemesine erişim kazanıyor.” Umm hayır Bu, kablosuz iletişimdeki bir güvenlik açığıdır. Bu sizin cevabınız, başkalarının yaptığı düzenlemeleri reddedebilirsiniz.
miken32
1
@FyodorGlebov bu saldırı müşterilere karşı. Yönlendirici güncellenmelidir, ancak istemciler bu güvenlik açığının kaynağıdır.
dwightk
-2

Güvenlik açığının henüz yayınlanmış olduğunu göz önünde bulundurarak (bu soru sorulduğunda) ve bunun ilk önce herhangi bir üreticiye gönderildiğinden şüpheliyim (bu konuda tarafların sayısını bilmek çok zor olacak gibi) - Apple’ın Mevcut tüm cihazlar için yeni güncelleme sağlayın ve bırakın.

Her zaman olduğu gibi, Apple, yalnızca tek bir güvenlik açığı için acil olarak iOS / Mac OS yamasını yapmazsa, düzeltmelerden / değişikliklerden birkaçını bir güncellemeye toplar.

Ayrıca düzeltme yapmak, test etmek, doğrulamak, serbest bırakmak, vb. Zaman alır. Bu yüzden anında ele alınmayacak.

Alexey Kamenskiy
kaynak
10
US-CERT bu durumlarda bildirimleri koordine eder. Bu durumda, satıcılara Temmuz ve Ağustos aylarında bildirildi ( krackattacks.com ). Açıklamadan önce bolca zaman verildi. Aslında, OpenBSD ambargoyu kırdı ve çok erken yattı ve orijinal araştırmacı ile küçük bir olaya neden oldu.
vykor
2
“Her zaman olduğu gibi, Apple, yalnızca bir güvenlik açığı için acil olarak iOS / Mac OS yamasını yapmıyordu…” Err, Apple , “ kabukları ne zaman normal güncelleme kanalları ve zamanlamaları dışında, Bash için hızlıca bir kez yayınlandı. keşfedildi.
JakeGould
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.