Apple ngừng hỗ trợ SSL 3.0 cho dịch vụ Push notification

Vào tuần tới, Apple sẽ ngừng hỗ trợ cho một giao thức mã hóa bị phát hiện có chứa một lỗ hổng nghiêm trọng, công ty cho biết hôm thứ tư.

Hỗ trợ cho SSL 3.0 sẽ chấm dứt kể từ ngày 29 tháng 10, thông báo cho biết. “Những nhà cung cấp chỉ sử dụng SSL 3.0 sẽ cần phải hỗ trợ TLS càng sớm càng tốt để đảm bảo các dịch vụ Apple Push Notification tiếp tục hoạt động như mong đợi. Các nhà cung cấp có hỗ trợ cả TLS và SSL 3.0 sẽ không bị ảnh hưởng và không cần thay đổi”.

Tuần trước các nhà nghiên cứu của Google tiết lộ họ đã tìm thấy một lỗ hổng trong SSL (Secure Sockets Layer) phiên bản 3.0, phát hành hơn 15 năm trước đây. SSL đã được thay thế bởi TLS (Transport Layer Security), nhưng các phiên bản cũ vẫn được sử dụng bởi một số máy chủ trên Internet và vẫn được hỗ trợ bởi các trình duyệt web.

Các nhà nghiên cứu phát hiện rằng có thể sử dụng một cuộc tấn công man-in-the-middle với tên gọi “POODLE”, để hạ cấp SSL/TLS kết nối tới phiên bản ít an toàn 3.0, nơi lỗ hổng có thể cho phép kẻ tấn công đánh cắp cookie xác thực của người dùng. Kẻ tấn công và nạn nhân phải trên cùng một mạng, tạo ra mối đe dọa đối với người sử dụng Wi-Fi công cộng.

Apple cho biết đã vô hiệu hóa SSL 3.0 trên giao diện Provider Communication trong môi trường phát triển của họ, nơi cho phép các nhà phát triển thử nghiệm để đảm bảo rằng dịch vụ thông báo tin nhắn vẫn sẽ tiếp cận được các ứng dụng của chúng.

Nhiều công ty đã ngừng hỗ trợ SSL 3.0 vì lỗ hổng này, một trong ba lỗ hổng  được tìm thấy ảnh hưởng đến một loạt các sản phẩm trên Internet trong năm nay, bao gồm cả lỗ hổng bảo mật “Shellshock” và “Heartbleed” trong OpenSSL.

Pcworld