iOS, OS X en Apple’s web services zijn bestand tegen recent ontdekte ‘Heartbleed’ bug
De afgelopen dagen ontstond wereldwijde commotie rond een OpenSSL bug die hackers toelaat om gebruikersgegevens van populaire websites als Google en Facebook relatief gemakkelijk in te kijken zonder een spoor na te laten. Deze fout zou al een hele tijd bestaan en de persoonlijke gegevens van miljoenen websitegebruikers konden dus al voor lange tijd gelezen worden door derde partijen. Dit is gerekend buiten Apple’s services, die al altijd beschermd waren tegen deze bug.
De ontdekte ‘Secure Socket Layer’ (SSL) bug, met ‘Heartbleed’ als bijnaam, werd gevonden in bepaalde open source software. Dat lek in de software zorgt er dus voor dat wachtwoorden en andere privégegevens blootgelegd kunnen worden. De bug werd ontdekt in de veelgebruikte OpenSSL implementatie van de TLS/DTLS heartbeat extensie. Wanneer misbruikt, kan dit leiden tot het lekken van gegevens zowel aan de server-kant als de client-kant. Onder die gegevens behoren dus ook encryptiesleutels die online services als Facebook gebruiken om hun gegevens te beveiligen.
[pullquote]”Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key web-based services were not affected.”[/pullquote]Apple maakte vandaag een statement waarin wordt uitgelegd dat geen enkele service van het bedrijf gevaar liep of loopt. Apple neemt beveiliging heel serieus waardoor het bedrijf nooit gebruik maakte van de onbetrouwbare software, zo reageert een woordvoerder van Apple op de vraag of Apple’s services aangetast zijn door de bug.
Vele online diensten waaronder Google, Facebook, Dropbox, Soundcloud en Tumblr gebruikten deze software waardoor gebruikersgegevens van die websites zomaar konden worden bekeken, zonder enig spoor na te laten. Daarom is het ten zeerste aangeraden aan alle gebruikers van deze services om hun wachtwoorden aan te passen. De meeste websites hebben al snel na de ontdekking van de fout het lek gedicht waardoor het nu wel veilig zou zijn om een nieuw wachtwoord in te stellen. Meer informatie over deze gevaarlijke bug is te vinden op www.heartbleed.org.
Het is me nu nog steeds niet helemaal duidelijk of je via een mac surft naar een server die niet gepatched is, of je dan data kan leaken of niet.
Natuurlijk kan je data gecompromitteerd worden als je naar een niet gepatchte server surft.
Het is namelijk een bug op de server, en niet bij de client.
Apple had gewoon geluk dat ze niet die bepaalde versie van OpenSSL hebben draaien en kunnen nu doen alsof de security altijd belangrijk hebben gevonden ze daadwerkelijk iets tegen die bug hebben gedaan.