关于iOS的SSL漏洞的时间安排以及Apple对NSA的PRISM计划的“补充”

杰弗里格罗斯曼,在Twitter上

I have confirmed that the SSL vulnerability was introduced in iOS 6.0它在5.1.1中不存在,在6.0中。

iOS 6.0于2012年9月24日发布

根据幻灯片6中美国国家安全局PRISM计划上泄露的PowerPoint套牌,苹果于2012年10月“增加”。

These three facts prove nothing; it’s purely circumstantial但鞋子适合。

当然知道是谁将虚假的代码行添加到文件中会很有趣在阴谋中,人们可以假设国家安全局通过雇员鼹鼠来种下这个错误无可否认,Occam的Razor解释是,这是Apple工程师无意中的错误。看起来像合并变坏可能导致的错误,重复转到失败;线。

一旦错误到位,NSA甚至不需要通过手动阅读源代码来找到它他们所需要的只是使用欺骗性证书进行自动化测试,这些证书针对每个操作系统的每个新版本运行Apple发布iOS,NSA的自动欺骗证书测试发现漏洞,并且繁荣,Apple被“添加”到PRISM(甚至不一定是一个快速的转变 - NSA本可以在夏天发现漏洞,而iOS 6则在开发者计划的beta测试中。)

或者,也许没什么,这都是巧合。

我看到五个级别的偏执狂:

  1. 没有NSA没有意识到这个漏洞。
  2. 美国国家安全局知道它,但从未利用它。
  3. 美国国家安全局了解它,并利用它。
  4. 国家安全局本身偷偷地种下了它。
  5. 与NSA同谋的苹果公司补充道。

我,我会走到#3。1事实上,我认为这实际上是乐观的情况 - 因为我们从PRISM幻灯片中了解到NSA声称有能力做这个漏洞允许的事情所以,如果这个错误,现在关闭,2不是NSA正在利用的,这意味着可能存在一些其他漏洞仍然存在。


  1. “永远不要归咎于因无能而得到充分解释的恶意。” -汉隆的剃刀 ↩︎

  2. 在iOS上关闭,即在撰写本文时,它仍然在Mac OS X 10.9.1上开放I expect it to be closed there soon, though. ↩︎

以前: 微软,过去和未来
下一个: 做点什么