WiFi KRACK 취약점이 iOS 용으로 패치 되었습니까?

가디언 문서에서 설명한대로 KRACK (키 재설치 공격의 약자)라는 WPA2의 새로운 취약점이있다 : ' 네트워크가 모든 와이파이'는 보안 전문가 발견하여 해킹에 취약 '

기사에 따르면:

보고서에 따르면이 취약점은 Android, Linux, Apple , Windows, OpenBSD, MediaTek, Linksys 및 기타를 포함한 많은 운영 체제 및 장치에 영향을 미칩니다 .

이 문제를 해결하는 iOS 용 보안 릴리스가 있습니까?

ios wifi security

— 드와이트
소스

유권자 닫기 :이 질문은 여기 주제에 관한 것입니다. 보안 취약점 관리의 내부 작업에 익숙하지 않으면 조사하기가 어렵습니다. 기본적으로 모르는 부분을 모릅니다.

— Allan

AirPort 펌웨어 업데이트도 마찬가지로 중요합니다!

— self.name

답변:

2017 년 10 월 31 일에 출시 된 업데이트

Apple은 macOS, iOS, tvOS 및 watchOS의 KRACK 취약점에 대한 수정 사항이 포함 된 업데이트를 출시했습니다. 업데이트를 받으려면

맥 OS 높은 시에라 10.13.1 시에라 & 엘 카피 탄에 대한 보안 업데이트 -
앱 스토어를 실행하고 업데이트 탭을 선택합니다.
아이폰 OS 11.1 -
설정> 일반> 소프트웨어 업데이트
watchOS 4.1 -
iPhone에서 Watch 앱을 시작한 다음 일반> 소프트웨어 업데이트로 이동하십시오.
tvOS 11.1 -
Apple TV 4 (및 4K)의 경우 설정> 시스템> 소프트웨어 업데이트로 이동하여 소프트웨어 업데이트를 선택하십시오.
Apple TV (2/3 세대)의 경우 설정> 일반> 소프트웨어 업데이트로 이동하십시오.

패치 될 때까지 보안 취약성에 대해 언급하지 않는 것이 Apple의 정책이며, 그러한 경우에도 보안 취약점에 대해 매우 모호합니다.

Apple 보안 업데이트에 관하여

Apple은 고객 보호를 위해 조사가 진행되고 패치 또는 릴리스가 출시 될 때까지 보안 문제를 공개, 토론 또는 확인하지 않습니다. 최신 릴리스는 Apple 보안 업데이트 페이지 에 나열되어 있습니다 .

그러나 약간의 탐정 작업을 통해 통찰력을 얻을 수 있습니다. 상기 찾고 이 특정 취약점에 할당 된 CVE , ^* 우리는 문제의 목록을 얻을 수 있어야 그들이 보안 패치를 발행하기로 결정 때 애플에 의해 해결 될 수를 :

CVE-2017-13077 : 4 방향 핸드 셰이크에서 PK -TK (Pairwise Encryption Key) 재설치

CVE-2017-13078 : 4 방향 핸드 셰이크에서 그룹 키 (GTK) 재설치.

CVE-2017-13079 : 4 방향 핸드 셰이크에서 무결성 그룹 키 (IGTK) 재설치.

CVE-2017-13080 : 그룹 키 핸드 셰이크에서 그룹 키 (GTK) 재설치.

CVE-2017-13081 : 그룹 키 핸드 셰이크에서 무결성 그룹 키 (IGTK) 재설치

CVE-2017-13082 : 재전송 된 고속 BSS 전환 (FT) 재 연결 요청을 수락하고 처리하는 동안 PTK-TK (pairwise encryption key)를 다시 설치합니다.

CVE-2017-13084 : PeerKey 핸드 셰이크에서 STK 키 재설치.

CVE-2017-13086 : TDLS 핸드 셰이크에서 터널링 된 직접 링크 설정 (TDLS) 피어 키 (TPK) 키를 다시 설치합니다.

CVE-2017-13087 : WNM (Wireless Network Management) 절전 모드 응답 프레임을 처리 할 때 그룹 키 (GTK)를 다시 설치합니다.

CVE-2017-13088 : WNM (Wireless Network Management) 절전 모드 응답 프레임을 처리 할 때 무결성 그룹 키 (IGTK)를 다시 설치합니다.

또한 ZDNet 기사- 현재 제공되는 KRACK Wi-Fi 취약점에 대한 모든 패치 (2017 년 10 월 16 일)는 공급 업체가 신속하게 대응하고 있으며 Apple은 패치가 베타 버전임을 확인했습니다.

애플은 iOS, MacOS, WatchOS, TVOS 용 베타 버전으로 수정되었으며 몇 주 안에 소프트웨어 업데이트로 출시 될 것이라고 확인했다.

^* CVE® ( Common Vulnerabilities and Exposures )는 공개적으로 알려진 사이버 보안 취약점의 일반적인 식별자 목록입니다. 전 세계 CNA (CVE 번호 부여 기관)에서 할당 한 "CVE ID (CVE ID)"를 사용하여 고유 한 소프트웨어 취약점에 대한 정보를 논의하거나 공유 할 때 당사자 간의 신뢰를 보장하고 도구 평가의 기준을 제공합니다. 사이버 보안 자동화를위한 데이터 교환이 가능합니다.

— 앨런
소스

나는 이것을 시험하고 싶다. 픽스에 대한 문서가 없다는 것은 픽스가 없다는 증거 일 수 있지만, 애플은 오픈 이슈에서 벗어나기 위해 워너비 크래커에 대한 심리적 트릭을하고있을 뿐이다. (물론, Apple이 문제를 해결하기 전까지는 내 연구 결과를 공유하지 않을 것입니다.)

— wizzwizz4

iMore 편집장 인 Rene Ritchie 는이 취약점이 모든 현재 macOS, watchOS, tvOS 및 iOS 베타에서 수정되었다고보고했습니다 .

업데이트가 제공 될 때까지 많은 보안 블로그는 VPN을 통해 SSL로 보호되는 사이트를 사용하여 Wi-Fi를 통해 전송되는 모든 정보를 보호 할 것을 권장합니다.

SSL은 KRACK 공격으로부터 데이터 안전을 보장하지는 않지만 상당히 어렵습니다. 그러나 KRACK은 암호화 전에 데이터에 액세스 할 수있을 정도로 깊이 액세스합니다.

— 비 코르
소스

그러나 무료 또는 신뢰할 수없는 VPN을 사용하지 마십시오. 하나의 위협을 다른 위협과 교환 할 수 있습니다.

— Steve

예. 그 VPN 회선은 편집자에 의해 원래 게시물에 추가되었습니다. 나는 내 자신의 서버에서 직접 실행하지 않은 VPN을 개인적으로 신뢰하지 않을 것입니다.

— vykor

나는 그것이 당신의 편집이 아니라는 것을 알았지 만 그냥 지나가는 사람을 위해 메모를 추가하고 싶었습니다 :)

— Steve

"그러나 KRACK은 암호화 이전에 데이터에 액세스 할 수있을 정도로 깊이 액세스 할 수 있습니다." 음. 이것은 무선 통신의 취약점입니다. 이것은 당신의 대답입니다. 다른 사람들이하는 수정을 거절 할 수 있습니다.

— miken32

@FyodorGlebov이 공격은 클라이언트에 대한 것입니다. 라우터를 업데이트해야하지만 클라이언트가 취약점의 원인입니다.

— dwightk

-2

취약점이 방금 게시되었다는 점을 고려하면 (이 질문이있을 때) 제조업체에 먼저 전송 된 것으로 의심됩니다. 모든 기존 장치에 대한 새 업데이트를 번들로 제공하고 릴리스하십시오.

Apple은 항상 단일 취약점에 대해 긴급한 iOS / Mac OS 패치를 수행하지 않기 때문에 몇 가지 수정 / 변경 사항을 업데이트로 묶습니다.

또한 수정, 테스트, 확인, 릴리스 등을 수행하는 데 시간이 걸립니다. 따라서 즉시 해결되지 않습니다.

— 알렉세이 카멘 스키
소스

이 경우 US-CERT는 알림을 조정합니다. 이 경우 공급 업체는 7 월과 8 월에 통지되었습니다 ( krackattacks.com ). 공개하기 전에 많은 시간이 주어졌습니다. 실제로 OpenBSD는 금수 조치를 깨고 너무 일찍 패치하여 원 연구원에게 작은 사건을 일으켰습니다.

— vykor

"애플이 항상 단일 취약점으로 인해 iOS / Mac OS의 긴급한 패치를 수행하지 않기 때문에…"Err, Apple은 "shellshock" 때 Bash ( 일부 업데이트 채널 및 일정 제외)에 대한 일회용 패치를 신속하게 출시했습니다. 발견되었다.

— JakeGould