In iOS 7 is een beveiligingsprobleem ontdekt waardoor kwaadwillenden een Man-in-the-Middle aanval kunnen uitvoeren op SSL-versleutelde verbindingen tussen iPhone of iPad en het internet. Hierdoor kan vertrouwelijke communicatie van gebruikers worden onderschept of gemanipuleerd.
De kwetsbaarheid heeft als aanduiding CVE-2014-1266 gekregen, met als omschrijving ‘Secure Transport failed to validate the authenticity of the connection. This issue was addressed by restoring missing validation steps’. In andere woorden, een aanvaller met een willekeurig SSL-certificaat dat door een ’trusted CA’ is ondertekend kan deze aanval uitvoeren. Hiervoor dienen de aanvaller en het slachtoffer zich op hetzelfde draadloze netwerk te bevinden.
Apple adviseert gebruikers een update naar iOS versie 7.0.6 uit te voeren. In deze patchversie is de kwetsbaarheid verholpen. De update is inmiddels uitgerold naar gebruikers in Nederland.
Apple geeft geen gedetailleerde informatie over beveiligingsproblemen. In het security bulletin zegt het bedrijf hierover ‘For the protection of our customers, Apple does not disclose, discuss, or confirm security issues until a full investigation has occurred and any necessary patches or releases are available.’