【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

Apple 最为臭名昭著的代码漏洞

  • 2020-08-20
  • 本文字数:2297 字

    阅读完需:约 8 分钟

Apple 最为臭名昭著的代码漏洞

导读 :计算机软件是由人类编写的,是人类就一定会犯错。但有些错误实在不该犯,Apple 就犯过这样的低级错误。


本文讲述了代码中的一行是如何危及所有 Apple 设备的安全性。


“Bug”,这是一个让大多数开发人员夜不能寐的单词,这也是为什么当你和他们交谈时,他们不断地走神发呆,双眼茫然凝视。虽然这有点悲哀,但事实并没有那么糟糕。软件中的错误总是能被识别出来,而且是无法避免的,原因很简单,因为我们是人类,是人类就会犯错。大多数漏洞都可以通过严格的 软件测试 得以消除,但也有一些 “漏网之鱼”。真正走红的是那些愚蠢却有害的漏洞。其中之一是 Apple 臭名昭著的代码漏洞,非正式的说法是 “ goto fail ”,官方名称为 “ CVE-2014-1266”。


这一漏洞削弱了 Apple 设备验证你所访问的网站真实性的能力。这意味着你的 iPhone 无法区分真实银行网站和冒名顶替者。

SSL:计算机如何验证并信任互联网上的其他计算机

在我们了解问题出在哪里之前,我们需要了解 “ SSL ”(Secure Sockets Layer,安全套接层):该机制使计算机能够信任并验证互联网上的网站。你的浏览器每次都会为你执行此操作,看起来如下图所示:



如今,所有的网站都使用 HTTPS (即带有 SSL 的 HTTP)进行安全连接。这会迫使你访问的网站出示 证书 以证明其真实性。然后,你的计算机将对照浏览器中的一组预加载密钥对其进行验证,以查看它是否由认证机构进行了数字 “ 签名 ”。这种 “ 数字签名” 利用了 非对称加密算法的数学原理。如果计算正确,并且证明证书确实是由浏览器中的 数字证书认证机构 (Certificate Authority,CA)密钥签名的,那么它就将为你开绿灯,一切都很顺利。没有人能做到窃听你的数据或劫持你的网络会话。


但是,如果在另一端有冒名顶替者的话,你的浏览器就会阻止你。下面是我用 Python 创建的一个例子,伪装成 Wikipedia.org 的服务器:



浏览器知道这一点,因为我没有一个由浏览器验证的权威机构签署的证书。实际上,我亲自签署了证书,上面写着 “ 我是 Wikipedia.org ” (不是最伟大的黑客),但 SSL 知道这一点,并保护你免受其攻击。注意:这是 “ 自签名根证书 ”。


Apple 的 SSL 验证码被破解

Apple 代码中的漏洞削弱了计算机执行证书验证的能力。其后果是有害的,因为它破坏了从你的设备安全使用互联网所涉及的信任和验证的结构。


带有该漏洞的 C 语言代码如下所示(为简洁起见,对代码进行了简化)。你的 iPhone/Mac 在每次访问网页时都会调用这个函数,下面是它发生的情况:



所以,这段代码检查了网站证书的真实性。这个过程有一系列的检查,使用了多个 if 语句。但奇怪的是,你可以看到还有一行: “ goto fail; ” (以橙色标记),变成了一个 无条件 语句。这是因为它位于 “ if ” 语句之外(C 并不像 Python 那样由缩进驱动)。在 C 语言中,这意味着它总是跳过后面的行(以蓝色标记),跳到底部的 “ fail ” 行以返回变量 “ err ”。因此,如果 “ err ” 变量是在此之前是成功的,那么整个验证将会成功,而不再进行验证额外的检查(以蓝色标记)。


如果你在抗议: “为 If 语句使用 {} 大括号!”,你是对的。我们已经不是 80 年代的人了,那时候的人们试图通过避免在小型 EPROM上的换括号来节省几个字节。


简而言之,所有 Apple 的设备(iPhone、Mac、iPad)都 失去了执行 SSL 验证的能力,而 SSL 验证是防止窃听和网络劫持的互联网标准防御措施 。这个漏洞与 2014 年年中首次发布在 通用漏洞列表 (Common Vulnerabilities and Exposures)数据库中,你可以在 这里查看。


Apple 在 iOS 7.0.6 更新中修复了这一问题:


https://support.apple.com/en-gb/HT202934 iOS 7.0.6 Data Security 
Available for: iPhone 4 and later, iPod touch (5th generation), iPad 2 and later
Impact: An attacker with a privileged network position may capture or modify data in sessions protected by SSL/TLS
Description: Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps.
复制代码


顺便说一句,这个漏洞只适用于 TLS 1.2 以下的 SSL 版本,而不适用于 TLS 1.2 。但是,TLS 版本可以在计算机之间协商,如果远程服务器愿意的话,它可以选择 TLS 1.1 。因此,这意味着漏洞依然存在。

中间人攻击

MITM(Man in the middle,中间人)攻击是最为常见的漏洞攻击,允许黑客进入中间位置并窃听你与真正网站之间的所有流量。这意味着他们几乎从你那里得到了所有的信息——你的密码、信用卡详细信息、你的位置等等。



中间人攻击在密码学和计算机安全领域中是指攻击者与通讯的两端分别创建独立的联系,并交换其所收到的数据,使通讯的两端认为他们正在通过一个私密的连接与对方直接对话,但事实上整个会话都被攻击者完全控制。

—— Wikepedia

回顾

“人非圣贤,孰能无过”,但这也是我们在生活中遵循过程的原因。我们都会犯错误,但现有的软件流程应该已经识别出错误。


  • 为什么 单元测试 没有发现这个错误?

  • 为什么没有 同等代码 评审?

  • 为什么 软件测试过程 或自 动化测试 没有发现这个错误?

  • CI/CD 管道对软件构建和部署运行自动化测试,为什么没有起作用?


虽然有些代码漏洞是难以置信的复杂和微妙,但也有一些明显而愚蠢的错误,会带来严重的损害。Apple 臭名昭著的 “goto fail” 代码漏洞就是后者,它在软件和生活中都提醒人们,在发布之前一定要进行测试、测试、再测试。


作者介绍:


Komal Venkatesh Ganesan,工程师,专注于软件、人工智能和技术。追求对基础物理学、科学的基本理解。


原文链接:


https://medium.com/swlh/apples-most-notorious-code-bug-6478ebaea44f


2020-08-20 10:581480

评论

发布
暂无评论
发现更多内容

重磅发布!12位效能专家联合打造的《研发效能100问》为你解答疑惑| 附下载

思码逸研发效能

云计算环境下云管平台选择哪家好?大家有推荐么?

行云管家

云计算 云服务 云管平台 云管理

VMware Workstation 17安装教程:安装系统

小魏写代码

数字人直播软件到底需要多少钱?

青否数字人

超越以太坊:Solana区块链上Dapp的崛起

区块链软件开发推广运营

dapp开发 区块链开发 链游开发 NFT开发 公链开发

零基础教你搭建自己的chatgpt,结合midjourney,部署源码上线即可运营

aiisai

ChatGPT MidJourney 松鼠ai

PostgreSQL技术内幕(十三)探究MPP数据库分布式查询分发Dispatcher

酷克数据HashData

区块链代币质押挖矿系统开发步骤与概念

西安链酷科技

dapp开发

2024年云计算环境下安全好用的堡垒机推荐

行云管家

听 GPT 讲 client-go 源代码 (8)

fliter

软件测试/人工智能|熟练使用web控件定位技巧,提升测试工作效率!

霍格沃兹测试开发学社

掌握web控件定位技巧,提升页面操作效率!

测吧(北京)科技有限公司

测试

百度安全获评工信部移动互联网应用服务能力提升优秀案例

百度安全

Selenium的鼠标操作

IT学堂笔记

人工智能与测试开发:新时代的黄金组合

测吧(北京)科技有限公司

测试

Windows虚拟主机:轻松搭建网站的首选,快来了解如何优化性能!

一只扑棱蛾子

虚拟主机 Windows虚拟主机

零基础搭建chatgpt商业网站,上线即可运营,集合midjourney

aiisai

源码 ChatGPT

如何有效利用API接口进行数据采集

Noah

人工智能与测试开发:新时代的黄金组合

霍格沃兹测试开发学社

AI自动生成短视频,关注上千,效率提升300%

派大星

副业赚钱 openai 涨粉

排名?跑分?竞标? - 如何体现数据库能力?

NineData

数据库 云计算

掌握web控件定位技巧,提升页面操作效率!

测试人

软件测试 自动化测试 测试开发

Apple 最为臭名昭著的代码漏洞_语言 & 开发_Komal Venkatesh Ganesan_InfoQ精选文章