蘋果 SSL 漏洞影響範圍比想像中大，Mac OS X Mavericks 亦需注意…

（圖片引用來源：Shutterstock）

Apple 在上週五緊急發佈 iOS 更新，來解決 SSL 連線驗證當中的漏洞，不過根據The Verge 報導，問題的根本應該是 SecureTransport 平台，受影響的系統不僅是 iOS，Mac OS X 10.9 Mavericks 使用者亦需注意；截至目前為止蘋果並沒有對此提出詳盡解釋，蘋果方面也還尚未推出針對 Mac OS X Mavericks 的補救方案，但經 The Verge 聯繫後蘋果則回應「目前已經在著手解決該問題，不久後將會推出安全性更新」。

The Verge 引述約翰霍普金斯大學（Johns Hopkins University）密碼學專家 Matthew Green 推特內容，表示該漏洞不僅容易遭他人利用，同時目前也尚未獲得控制，一如前述，就算所有 iOS 使用者都下載更新（小編還沒！），也還有一海票系統為 Mac OS X 10.9 Mavericks 的電腦暴露在重要隱私資料遭侵犯的危機中。

一般來說，透過 SSL 驗證機制，網路瀏覽器會確實確認連線的對象是否真為服務提供者（金流、網路銀行等等），但由於程式碼中有問題，SecureTransport 無法確實確認對方提供的認證是否為有效，也就是說若有人惡意偽裝成服務提供者，系統很有可能將其誤認，導致使用者損失。

除此之外，其影響的層面還不只包括 Safari 瀏覽器，根據研究人員 Ashkan Soltani 的說法，任何採用 Apple SSL 驗證機制的軟體服務，包括 FaceTime、Mail 及 Calendar，或多或少都可能受到影響，同時該問題其實存在已久，早在 iOS 6 開始就有；不過實際要利用 SSL 漏洞來侵犯受影響的裝置，也並非如此「便利」，因為對方需跟使用者在 WiFi 可連線的距離內，進行直接且針對性的攻擊，因此這樣的攻擊在執行沒想像中「方便」，相較之下對方可能還比較想透過 Flash 或其他已知漏洞來攻擊。

然而使用者也不能就此掉以輕心，在更新推出之前，務必盡可能透過私人、加密的 WiFi 網路進行連線；儘管問題暫時有折衷的解決方法，蘋果也表示將在不久後發佈更新，但更深層、根本的問題還是需要蘋果方面去積極處理，而這問題的所在，根據密碼學專家、Cryptocat 成員 Nadim Kobeissi 解釋，是程式碼當中存在有問題的 if-then 子句，加上一組無端重複的字串 "goto fail"，但兩者基本上對於蘋果這樣規模的公司來說，應該都是能夠輕易發現並解決的問題。

不過規模也許就是問題的根源，有蘋果內部人士指出 OS X 的安全性架構算是歷史悠久，經過這麼長一段時間的發展，依據不同產品需求、一路以來不斷修正其內容的過程當中，內部人員光是處理新的 bug 就快要焦頭爛額，因此像 SecureTransport 這類的核心程式，很有可能長時間沒有徹底檢查清楚。

不過也有人不認同這樣的解釋，因為 OpenTransport 基本上在 Mavericks 推出後，內容即開放給大眾，也就是說任何人都可能發現有問題的程式串；另外也有部分研究人員抱怨蘋果方面在接受外部提報的處理不夠積極，但是這樣嚴重的問題理當會優先處理，事後發現似乎並非如此，更諷刺的是，該問題最早其實是由 Google HTTPS 工程師在網路上公開；當然也不是說這樣顯而易見的問題就不會發生在其他大公司，但蘋果確實必須從這次事件當中得到警惕。

原文引用來源：The Verge