Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/8/2016
Mange programmer har en sårbarhed i den måde, de autentificerer tilkobling til en proxyserver. Apple har lukket hullet, andre er stadig sårbare.Sikkerhedsforsker Jerry Decime har opdaget hullet, som han kalder FalseConnect. Det kan udnyttes af en angriber, der kan opsnappe offerets datatrafik, fx på et åbent trådløst netværk.
Hvis offerets enhed er sat op til at bruge en proxyserver, giver sårbarheden angriberen mulighed for at opsnappe al kommunikationen også selvom den er krypteret.
Dermed kan offeret ikke regne med, at kommunikation med en server er krypteret, selvom browseren viser hængelås-ikonet for HTTPS (Hypertext Transfer Protocol Secure).
Ifølge Jerry Decime har Apple lukket hullet med iOS 9.3.3, OS X 10.11.6 og tvOS 9.2.2.
CERT oplyser, at software fra Apple, Microsoft, Opera og Oracle er berørt. Flere andre kan også være ramt.
Anbefaling
Afvent opdateringer. Undlad at bruge åbne trådløse netværk.