iOS 9.2.1 det gav inte många synliga förändringar för iPhone, iPad och iPod Touch-användare, men det gav en lösning på ett mycket viktigt säkerhetsproblem som rapporterades till Apple för mer än 2 år sedan.
Specifikt hade iOS en sårbarhet som gjorde det möjligt för vissa hackare att stjäla cookies som används av Safari för att surfa på Internet och lura iDevice-användare att logga in på webbplatser som är utformade för att stjäla deras lösenord, eller stjäla deras identitet online.
Även om problemet rapporterades för 2 år sedan till Apple-företaget, hade ingen från Cupertino bråttom att lösa det, även om det äventyrade användare som surfar på Internet med offentliga Wi-Fi, så praktiskt taget vem som helst var ett möjligt offer för hackare.
Ingen vet varför Apple valde att vänta 2 år för att lösa ett så viktigt säkerhetsproblem, men du kan vara lugn eftersom du från och med iOS 9.2.1 kommer att vara skyddad mot hackare som försöker stjäla din onlineidentitet och inte bara det.
Det här problemet tillåter en angripare att:
- Stjäla användares (HTTP) cookies associerade med en webbplats som angriparen väljer. Genom att göra det kan angriparen sedan imitera offrets identitet på den valda platsen.
- Utför en sessionsfixeringsattack, logga in användaren på ett konto som kontrolleras av angriparen – på grund av den delade Cookie Store, när offren surfar till den berörda webbplatsen via Mobile Safari, kommer de att loggas in på angriparens konto istället för sitt eget.
- Utför en cacheförgiftningsattack på en webbplats efter angriparens val (genom att returnera ett HTTP-svar med cachehuvuden). På så sätt skulle angriparens skadliga JavaScript köras varje gång offret ansluter till den webbplatsen i framtiden via Mobile Safari.
