先前蘋果曾宣布發現一個 iOS 加密系統中的關鍵漏洞,需要盡快修復,接著其他研究者發現這個漏洞同樣存在於 OSX 和 Safari 中。
現在另一位研究者還發現,這個漏洞的影響遠不止是瀏覽器, Mail 、 Facetime 、 iMessage 甚至蘋果內建的軟體升級系統都受到影響。
上週日,隱私保護研究員 Ashkan Soltani 在 Twitter 上貼出了一部分使用了同一 TLS 和 SSL 加密代碼庫的軟體。他用紅線在圖中標出了軟體名稱,可以看出諸多內建軟體都名列其中。
Soltani 表示,通過中間人攻擊(man in the middle attack),駭客可以在用戶不知曉的情況下安裝監控軟體。更火上澆油的是蘋果軟體升級系統也受到了影響,也就是說蘋果給 iOS 和 OSX 推送軟體安全更新的工具也可能被駭客攻陷。
而說起這個漏洞的源頭,則是一個活生生的「論良好程序架構」例子。這個被安全社區命名為「gotofail」的漏洞源於蘋果軟體代碼中一個使用不當的「goto」語句——幾乎所有學習過程序設計的人都被告知應竭力避免使用臭名昭著的 goto 語句。
安全公司 Crowdstrike 及 Google 的工程師迅速分析了這個漏洞,發現它同樣存在與 OSX 中,工程師們建議大家在蘋果修復該漏洞前遠離不被信任的網絡連結,並儘量不要使用 Safari 。
隨著漏洞帶來的影響越來越大,蘋果也已經表示將會「迅速」發布一個更新。但考慮到眾多受此影響的軟體需要修復,這個更新可能不會太快推出。
Apple的程式設計師太好混?