Консултантът по сигурността отнема по -малко от един ден, за да използва грешката „Goto Fail“ на OS X
В нов пост в блог, консултантът по сигурността в Нова Зеландия Алдо Кортези отбелязва, че му е отнел по -малко от един ден, за да разработи доказателство за концепцията за критичната грешка в OS X SSL/TLS, известна като „goto fail“.
По този начин Cortesi потвърди на практика това, за което хората вече се притесняваха на теория: че благодарение на грешката - смятана за резултат от ред грешен код - почти целият шифрован трафик, включително потребителски имена, пароли и дори актуализации на приложения на Apple, потенциално могат да бъдат заловен.
„Потвърдих напълно прозрачно прихващане на HTTPS трафик както на IOS (преди 7.0.6), така и на OSX Mavericks“, пише Кортези.
„Трудно е да се прецени сериозността на този въпрос. С инструмент като mitmproxy в правилната позиция, нападателят може да прихваща, преглежда и променя почти целия чувствителен трафик. "
Докато Кортези е казал, че няма да пусне доказателството си за концепцията чак след като Apple отстрани проблема, това отново демонстрира какъв сериозен проблем представлява това. „Разбира се, разузнавателните агенции несъмнено са били на върха на това от известно време“, отбелязва Кортези, преди да предположи, че „може би някои от
възпалителни истории за ужасите за сигурността в Сочи в крайна сметка бяха правдоподобни. "Източник: Corte.si
Чрез: ZDnet