Az Apple SSL/TLS bug mögött

John Gruber posztjában összefoglalja a tegnapi SSL/TLS hibával kapcsolatos érdekességeket: a hiba, aminek kiaknázásával egy harmadik fél képes olvasni a titkosított csatornát, az iOS 6-ban jelent először meg, 2012 szeptember végén (1). A kiszivárgott NSA PRISM dokumentáció szerint az Apple-t először 2012 októberében célozták meg (2). Landon Fuller szerint a hibát már a unit testing során meg kellett volna találniuk, de nem tették (3). Ezek után mindenki azt hisz, amit akar, én a magam részéről csak annyit tennék hozzá: felettébb különös véletlenek sorozata ez.

Arra a teóriára hajlok egyébként, hogy igenis megkent valakit az NSA, hogy rakja be a commitot a kódba – nyilván a tettest időközben elkapták, illetve azt a kontót, amivel csinálta a módosítást. Az sem nyugtat meg senkit ezek után, hogy a cég azonnal kinyomta a biztonsági frissítést, ami eltünteti a hibát. Szép új világ.