Bugs

[vídeo] Veja o quão perigosa é a falha do SSL presente no iOS 6 e 7

iOS 7.0.6

Ontem explicamos aqui o quão importante é atualizar o mais rápido possível o iOS para a última versão, a fim de consertar uma falha grave de segurança relativa ao SSL. Nosso leitor Edson Fumachi fez um vídeo mostrando como é fácil alguém interceptar o aparelho ou computador de alguém que esteja conectado na mesma rede Wi-Fi, caso você não esteja com o iOS 7.0.6 ou 6.1.6 instalado.

É claro que não mostraremos como fazer esta interceptação, mas esta informação infelizmente pode ser encontrada facilmente na internet, colocando em risco os usuários que ainda não atualizaram. Confira o vídeo:

Com apenas alguns códigos, Fumachi conseguiu se estabelecer entre um usuário e a internet, servindo de “filtro” para todas as conexões feitas por este usuário. Com isso, ele pode obter os dados de login na conta do Facebook da pessoa. No exemplo, esse alguém era ele, mas poderia ser qualquer um conectado na mesma rede. Enquanto uma rede doméstica, com senha, não apresente grandes riscos (a não ser que você libere a conexão para alguém que não confia), redes públicas e abertas podem ser acessadas por qualquer um.

Por isso, repetimos: atualize para o iOS 7.0.6 (ou 6.1.6 caso tenha um iPhone 3GS ou um iPod touch de 4ª geração) o quanto antes, para não ter seus dados pessoais roubados. No Mac, enquanto a Apple não libera o OS X 10.9.2, procure usar outros navegadores como Chome e Firefox, que são imunes ao problema. Uma página independente é capaz de avaliar se sua conexão é realmente segura ou se é afetada pelo bug do SSL.

Tags
Mostrar mais

iLex

Robô virtual que tem como missão organizar o site e ajudar leitores. De tempos em tempos ele desvirtua e tenta fazer outras coisas, mas nada que um hard reset não resolva.

Artigos Relacionados

  • Duane Damaceno

    poucos comandos hem!?

    e isso ficou mais de um ano moscando até que a Apple tomasse providência?
    Como diria meu priminho de 1 ano e meio: “Que piígo” (que perigo)

    • Alan Cardeque

      Entrar em modo promíscuo para capturar dados de uma página SEM certificado SSL é um técnica tão antiga quanto a minha avó. Mas cadê a prova de que conseguiu quebrar a segurança de dados SSL fora do iOS?

      Eu trabalho com suporte-técnico há 22 anos. Já vi de tudo em matéria de segurança, e não duvido de mais nada. A título de curiosidade existem atualmente no mercado roteadores/firewalls capazes de snirfar a conexão do usuário e armazenas logs de conversas de Messengers/E-mails, etc. Esse roteadores são acessíveis custando algo em torno de R$ 4.000,00.

      Quanto se trata de conexão SSL é situação é um tanto mais complexa, ainda assim funciona: A técnica consiste em emular uma página exatamente idêntica a original, e a partir dos dados inseridos autenticar simultaneamente à página original. Mas capturar essas informações não é algo tão simples quanto parece. Memos com esse router-firewall especial, ainda é necessário “plugin” no browser do cliente. Enfim, esses roteadores-firewalls são adotados nas empresas para prevenir vazamento de informações e a espionagem industrial. Se um funcionário tentar fazer um upload, ou qualquer forma de ftp (com ou sem ssl), utilizando-se qualquer qualquer comunicador virtual dentro do proxy da rede, o firewall detectará ação e aplicará a diretiva de segurança sem aviso prévio. Embora seja possível capturar dados de login, apenas os anexos e os conteúdos das mensagens serão armazenados para análise posterior.

      Agora com relação a quebra do certificado SSL dentro iOS, com possibilidade de captura de dados de login e senha, a coisa realmente muda de figura e se torna bem preocupante.

    • jeff

      A nova atualização do OS X Mavericks já ajustou a falha. Ainda bem, como a Apple ficou esse tempo todo sem corrigir isso??
      estranho……

  • Hercules

    Única coisa que no video, ele não está usando SSL para acessar o facebook… 🙂
    Ele esta simplesmente interceptando um conexão HTTP normal, que é PLAIN TEXT!
    Só dizendo.. 😛

    • Thiago Suchorski

      Mas o esquema pra capturar SSL é o mesmo… É que se ele não tiver o certificado SSL o navegador vai avisar que é uma conexão insegura e vai perguntar se quer continuar…

    • Lucas Andrade

      bingo!

  • Léo

    Top a matéria… parabéns!

  • Leandro Machado

    A única coisa ruim dessa atualização é que após ela uma faixa azul fica correndo pra la e pra cá no meu IPhone e no IPad, sem dizer que a bateria tem ido embor bem mais rápido. O que eu faço???? Nada né????

    • Ronald

      Desative o acesso pessoal….

  • Pedro

    Estranho. No meu i5 a bateria melhorou bastante e não vi nenhuma faixa azul não!

    • Lucas Silveira

      No meu 4S a bateria piorou

      • Lucas Silveira

        Vai entender

      • Bia

        Nossa, o meu eu já comprei com a bateria zuada, não é possível!!! Acaba muito rápido, carrego umas 3 vezes por dia, ele esquenta e é quase novo, adquiri dia 29/12/13

    • Hiurt

      Acho que ele deve ter ligado o Acesso Pessoal e não percebeu.

  • Pepe

    Única pergunta: É só pelo safari? Se eu usar o app do facebook, ou o app do bradesco prime estarei vulnerável?

  • Carlos

    Hahaha e no fundo do vídeo o comentário: “[email protected] que pariu, que doce mais gostoso”

    • Kkkkkk

      Desculpem pelos efeitos sonoros, mas escapou!

      😉

      • Icaro

        iFujimachi, como a resolução ficou ruim e não pode deixar comentarios no seu video…
        Ví que voce fez uma regrinha de iptables forçando/permitindo a saída por um link… mas nao consegui detectar o ultimo programa que voce rodou. Qual era?

  • Robson

    Não consigo acreditar que isto seja uma falha, creio que era proposital, uma porta aberta para o governo americano (NSA) espionar. Um erro tão grave não passaria despercebido por tanto tempo.

  • Leonardo

    Utilizando o Chrome ou Opera no iPhone não atualizado resolveria alguma coisa?

  • fabio

    Ilex, não sei se esta diretamente relacionado a isso mas, depois de alguns dias que atualizei, meu iphone 5S simplesmente não carrega o sinal (edg, 3G, 4G), de modo algum mesmo redefinindo ou reinstalando tudo, minha operadora é OI ( e afirma que esta tudo normal).
    Será que tem mais alguém com o mesmo problema.

    • Guilherme Lobo

      A operadora Oi esta com algum problema… não esta funcionando direito também aqui.

    • RCanada

      Aconteceu isso comigo também e minha operadora é a VIVO.

      Tive que Redefinir Ajustes de Rede, depois disso o sinal 3G voltou ao normal. Passou alguns minutos recebi a atualizacao do APN da VIVO e apareceu para habilitar o LTE novamente.

      Estranho…

  • Leandro

    Toda atualização que sai, nego vem falar que tá comendo a bateria.. bitch please!

  • Fábio

    Tá…só agora quase saindo o iOS 7.1 que a Apple me faz essa gracinha…tá osso de entender essa empresa. ficou um tempão sem…

    • Lucas Alvarez

      Preferia esperar até o 7.1 e ficar inseguro até lá? Meu Deus, cada comentário…

  • Sr. Rossi

    e aí galera mas e quem tem jailbreak? eu baixei um tweak sslpath. e to no 7.04. ouvi dizer q isso tbm resolve o problema sem precisar atualizar. procede esse pensamento?

    • Lucas Alvarez

      SSLPatch, procure, está no repo BigBoss

      • Sr. Rossi

        sim Lucas eu já instalei esse tweak. minha dúvida é se ainda preciso atualizar ou só esse tweak instalado basta. tendeu? mas mesmo assim obrigado

  • Nathalia

    Olá pessoal!
    Tenho uma dúvida enooorme quanto a esse ios 7 de forma geral. Preciso muito de uma ajuda!
    Tenho um iPhone 4 e até hoje uso o ios 6.1.3 pois nunca tive coragem de atualizar para o 7 devido a milhares de reclamações que li na internet!
    Tenho muita vontade de atualizar,mas sempre fico na dúvida se vale a pena até porque ele requer 3.7GB disponível para que eu coloque o ios 7. Essa é o meu medo pois se tenho somente 8GB não sei como ficará meu aparelho depois da atualização. Ainda ficarei com memória disponível? Meu iPhone ficará muito pesado e lerdo? Não sei se conseguirei usar meus aplicativos ainda…
    Por favor me ajudem, eu preciso muito tirar essas dúvidas e saber se posso atualizar sem nenhum problema!!

    Obrigada

    • sr. Rossi

      olha eu tenho um i4 tbm. rodando perfeitamente o iOS 7 e com jailbreak. só q meu i4 tem 32 gb não sei se isso influência no resultado final. mas é isso. espero ter ajudado

    • Maycon

      Tenho um iPhone 4 de 8gb. Já uso o iOS 7. Ele usa esses 3,7GB de armazenamento temporário, depois pode usar tranquilo pra instalar App. O meu é um pouco mais lento que antes, nada exorbitante.

      • Bia

        Natália, meu iPhone 4S tem também 8gb e quando comprei ele já veio com iOS 7 e já apareceu duas atualizações depois que eu comprei e ele continua o mesmo e já veio rápido.. Fora isso tenho bastante coisa instalada

  • Romarinho

    Ai fica dificil kkkk o kra com sotaque gaucho e ainda me vem com essa de viadinho hahaha

  • krikaoli

    O pior é saber que o Mac está com a mesma coisa é a Apple não fez um patch até agora… Apenas para o iOS…

    • william

      Provavelmente final de semana já sai a correção pro Mac

  • Thainã

    Eu nao to conseguindo reiniciar meu iPhone e iPad com jailbreak e nem colocá-los em modo dfu, o aque eu faço pois quero atualizar o ios 7.0.6

    • Lucas Alvarez

      Não precisa colocar em DFU pra dar restore com jailbreak. É só restaurar PELO iTunes (NÃO RESTORE PELO APARELHO, SÓ PELO iTunes!)

  • Silvio

    Qual o problema de ter a senha do facebook roubada, utilizo o recurso de segurança que a pessoa só consegue logar em navegadores salvos, ou seja, teria que pedir pro facebook enviar um sms e este chegaria no meu celular e não pra quem roubou a senha, aliás passo a senha pra quiser, não vão conseguir entrar se não tiverem o código.

    • Breno

      Com certeza nenhum problema se roubarem também a senha do seu banco, seu e-mail, sua internet ….

  • Beto Sobral

    Que isso ?
    A maçã esta com bicho ?
    Inseticida nos bichos .

  • Fernanda

    Não estou conseguindo atualizar o meu. Está dando erro! O que faço? Alguma sugestão? Please!!!

  • aLex

    Dúvida! Tenho um iPhone 4S e optei em permanecer com a última versão do iOS 6. Pergunto: é possível atualizar para corrigir essa falha permanecendo no iOS 6?

    • Lucas Alvarez

      Faça jailbreak e baixe o SSLPatch, mesmo não usando o jail, eu recomendo instalar…

  • Saulex

    Mac OS atualizado com a devida correção da falha do SSL.

    • Marciou

      Vou atualizar agora meu mac

  • Francis

    Indo ali atualizar o MacBook Pro no 10.9.2 e já volto.

  • Leandro costa

    Fala ae galera do BDI , toda vez q coloco meu iphone 4s para procurar a atualizaçao ele so fica ” buscando atualizaçao ” e nao aparece nada … Obs : tenho o jailbreak !!!
    Alguma soluçao ? Conto com vcs

    • Breno

      Quando se faz o JB, ele impede de fazer atualização “over the air”, ou seja, diretamente do iphone. Isso para proteger o JB, já que a atualização remove o JB. Caso queira atualizar, vc terá que fazer via itunes (computador) e perderá o JB … terá que fazer novamente o JB. (Já que para o ios 7.0.6 já atualizaram a ferramenta disponibilizando o JB para esta atualização).

      • Leandro

        Putz,explicou perfeitamente … Obrigado ai brother , por isso curto o blog,todo mundo se preocupa em ajudar um ao outro,abraço

  • Pepe

    Venhk através deste agradecer este blog pelo excelente artigo que fez ( http://blogdoiphone.com/2013/09/dica-nao-gaste-fortunas-com-roaming-internacional-das-operadoras-brasileiras/ ) sobre romanos internacional. E pela excelente dica de usar a celltravel. Digito este texto do meu iPhone 5 usando o 4g da H2O na fila do parque magic kingdon. Sinal simplesmente perfeito. 4g a todo vapor. Obrigado mais uma vez. Sem contar que economizei uma fortuna.

  • Renato

    Ainda sim continuo no iOS 6 no iphone 5 e ipad mini, porém, WIFI só em casa!

  • Kkkkkkk

  • Alan Coutinho

    Realmente essa foi a pior falha que já se teve notícia na história da Apple, um erro tão grave e reparado de forma tão tardia e sem explicações. E imaginar que eu e todos os usuários ao acessar a internet do meu iphone ou do meu macbook nas redes de wifi publicas podemos ter sido facilmente interceptado nas senhas de e-mail ou pior de banco e ter todos os dados ou dinheiro furtados facilmente……. Sempre soube que esse dia ia chegar onde a confiança de segurança na Apple iria desmoronar as custas de informações ou dinheiro roubados. O que me deixa chateado é a ilusão vendida pela Apple e que um dia acreditei, que estaria em uma plataforma a prova de invasões. Que venha o futuro e suas incertezas.

  • Beto Sobral

    Acabei de atualizar o meu Mac Mini.
    Agora esta tudo atualizado, Mac Mini e iphone .

  • Ilex, tenho um iPhone 4S, e após a atualização do iOS 7.0.6, todos os contatos, notas e eventos no calendário foram apagados do meu iPhone. No site do iCloud.com todos os dados (contatos, eventos do calendário e notas e etc.) estão lá, será que isso só aconteceu comigo? É muito ruim você passar o dia com o iPhone sem nenhum contato.

  • Lucas Ribeiro

    Meu iPhone 4 não ta atualizando, não sei por que!!!
    Ele baixa o arquivo, normal, “atualiza”, reinicia, mas quando volta, ele não tá atualizado, eu coloco em Verificar Atualizações, e ainda está lá disponível!!! eu já fiz isso umas 6 veses e nada!!

    SOCORRO!!!!!

    • Cara, se tu tiver com Jailbreak nao vai funcionar msm

  • Leonardo Negrisoli

    Saiu o 10.9.2 pros usuários!!!
    To baixando e depois vou testar o gotofail pra ver se corrigiu! =)

  • Alex Retamero Dias

    Atuizacao para o Mac OS X já saiu. Façam!

  • Então só meu iPhone 4S que não consigo mais selecionar quais aplicativos quero que use meus dados de 3G ou não? Depois dessa atualização ficam quase todos marcados e se eu desmarco voltam todos a ficar marcados novamente, mais hora funcionam com a rede 3G hora não. Já restaurei as configuração do celular, de rede também e nada de resolve. Alguém sabe me dizer o porque disso ?

  • Ana Cláudia

    O meu noivo foi atualizar o iPhone 5c dele pelo celular e ficou pedindo pra conectar no iTunes, ele conectou e ficou dando um erro desconhecido 3.
    Agora ele tá lá com o celular parado sem conseguir restaurar. 🙁

  • Silas Barbosa

    Meu iPad 2 não tem mais a animação quando fecha ou abre um app ou uma pasta, esta estranho! Mais alguém ficou com essa diferença depois da atualização!?

  • Betocpb

    Falando em iOS 7…

    No iOS anterior, o blog disponibilizou para os usuários poderem modificar e trocar o nome da operadora pela LOGOMARCA da operadora, sem jailbreak.

    Mas com a mudança do iOS, voltou a aparecer somente o nome normal sem a logomarca.

    Alguma novidade sobre isso para o iOS 7 ?

  • Thiago

    iLex, algumas pessoas já comentaram mas faço coro com elas. Esse vídeo não mostra nada. Ele está capturando tráfego HTTP não criptografado na própria máquina.

    A vulnerabilidade do iOS / MacOSX permite que se coloque um interceptador com certificado FALSO que será reconhecido como legítimo pelo navegador, mas para o usuário vai aparecer o “cadeado” e o tráfego será criptografado só que o interceptador terá acesso aos dados em texto claro.

    O que o vídeo mostra é só uma captura de tráfego não criptografado. Ele deveria ter interceptado o tráfego e apresentado um certificado inválido para mostrar que nessa situação o cadeado de segurança aparece verdinho e como se tudo estivesse bem.

    • Alan Cardeque

      Bati na mesma tecla mais acima… não provou nada!

    • Rodrigo

      Ia comentar a mesma coisa, esse vídeo não tem nada relacionado com a falha de segurança encontrada.

    • iFumachi

      Não,

      Foi criado uma máquina virtual (debian), o VirtualBox, com outro IP, ou seja, não compartilhei a rede via NAT, atribui um MAC ADDRESS diferente simulando uma máquina diferente na rede.

      Nessa máquina virtual rodando o debian, rodei os códigos para deixar em modo promíscuo, regra de iptables redirecionando todo o tráfego das portas 80 e 443 para a porta 10000, rodei o sslstrip para capturar as informações e depois, utilizei o ettercap para interpretar as informações.

      O fato de estar no mesmo monitor não quer dizer que seja a mesma máquina; é possível criar um número grande de máquinas virtuais dentro do mesmo sistema operacional atribuindo números de IP e MAC Address diferente como se fossem máquinas físicas/reais.

  • marcelo

    Apple tá uma piada mesmo

    Uma falha estupida dessa rolando por 2 anos e só arrumaram agora pq jogaram merda no ventilador

    Só louco mesmo pra gostar de uma empresa dessa…

    Imagina como andam nossos dados dentro essa empresa

  • Valéria

    Depois dessa última atualização percebi que meu iphone não conecta wi fi com facilidade, a minha internet fica na sala e sempre pegou no quarto, agora não pega mais, e no trabalho também estou com mesmo problema, por sempre consegui wifi na minha sala, agora não consigo mais… e não fui a única a perceber esse problema pelo que já andei perguntando…

  • Dilson jr

    E ai iLex
    Vc sabe me dizer se no brasil já tem o iPad Air de 128GB?

  • Puding

    Sabe como usar um sniffer, mas não sabe como usar um programa que captura a tela, parabens!

  • Gerson

    Pessoal boa noite

    Este é o comportamento normal do protocolo HTTP.

    Abs

    Gerson

  • Yuri

    Realmente, não mostrou nada.
    Primeiro que pode colocar mil máquinas virtuais e mil Ips, todo o tráfego vai passar pela mesma paquinha de rede em modo promiscuo. O facebook foi forçado a entrar em http quando o padrão é https. No mínimo você poderia mostrar o acesso e a captura de um iphone na mesma rede pra ficar mais verosímil.