Ora sappiamo perché Apple ha rilasciato iOS 7.0.6 nonostante la versione 7.1 sia quasi pronta e no, non si tratta di buone notizie. iOS 7.0.6 e 6.1.6 risolvono un bug radice di un gravissimo problema di sicurezza relativo alle connessioni criptate SSL, che può essere sfruttato per connettersi ai terminali degli utenti e rubare informazioni, o perfino modificarne i dati.
Il bug risiede in solo un paio di linee all’interno del codice che controlla le connessioni sicure SSL in iOS e OS X; se date un’occhiata noterete come una linea sia stata erroneamente scritta due volte, questo causa un errore nell’esecuzione, la richiesta di autenticazione è “bypassata” e nessuno si accorge di nulla.
La funzione “goto” è considerata un cattivo modo di programmare, ma in molti la usano lo stesso, il bug di Apple ha già un suo hashtag su twitter: #gotofail raccoglie una serie di commenti più o meno seri sulla vicenda.
Apple presumibilmente sapeva del problema da tempo, ma non trovandone la causa lo ha (giustamente) tenuto ben nascosto; ok, so che adesso molti urleranno “se ci avessero avvertiti avremmo preso delle precauzioni!”, ma così facendo qualunque hacker avrebbe saputo come introdursi nei nostri dispositivi (Apple avrebbe svelato il bug senza sapere ancora come correggerlo) ed ecco che improvvisamente saremmo stati davvero tutti a rischio, senza una chiara via di fuga.
iOS 7.0.6 e 6.1.6 risolvono la vulnerabilità; il nostro consiglio? Aggiornate, SUBITO! È possibile eseguire il jailbreak di iOS 7.0.6, quindi anche in questo caso non c’è ragione di aspettare, potete usare Openbackup per salvare i vostri tweak, quindi eseguire un backup su iCloud o iTunes (file e impostazioni di Cydia etc. saranno salvati nel backup), ripristinate tramite iTunes (l’update Over The Air causa problemi al jailbreak) e effettuate nuovamente il jailbreak con evasi0n, quindi ripristinate il backup, installate Openbackup da Cydia e scegliete “restore”.
Per OS X potete usare questo sito per testare il vostro browser, nel caso risultasse vulnerabile (Safari al momento lo è) provate un browser differente, (al momento anche Mail è vulnerabile), i0n1c avrebbe anche creato una patch per Mavericks, ma non ho avuto tempo di testarla e verificarne il contenuto.
È ragionevole aspettarsi che Apple rilasci presto un aggiornamento 10.9.2 per Mac per correggere definitivamente il bug.
* Aggiornamento articolo 27.02.2014 *
Come ci segnalano anche alcuni nostri lettori, fra cui daniele di cui pubblichiamo uno screenshot, con il nuovo aggiornamento OS X 10.9.2 il problema col bug #gotofail pare essere risolto.
