Sikkerhedskonsulent tager mindre end en dag at udnytte OS X 'Goto Fail' Bug
I et nyt blogindlæg bemærker den newzealandske sikkerhedskonsulent Aldo Cortesi, at det tog ham mindre end en dag at udvikle et konceptbevis for den kritiske OS X SSL/TLS -fejl, kendt som "goto fail".
Ved at gøre dette har Cortesi i praksis bekræftet, hvad folk allerede var bekymrede for i teorien: det takket være fejlen - menes at være resultatet af en række fejlkoder - næsten al krypteret trafik, herunder brugernavne, adgangskoder og endda Apple -appopdateringer kan potentielt være fanget.
"Jeg har bekræftet fuld gennemsigtig aflytning af HTTPS -trafik på både IOS (før 7.0.6) og OSX Mavericks," skrev Cortesi.
»Det er svært at overstille alvoret i dette spørgsmål. Med et værktøj som mitmproxy i den rigtige position kan en angriber opfange, se og ændre næsten al følsom trafik. ”
Selvom Cortesi har sagt, at han ikke vil frigive sit konceptbevis før godt efter, at Apple har lappet problemet, viser det igen, hvilket alvorligt problem dette repræsenterer. "Selvfølgelig har efterretningstjenester uden tvivl været oven på dette i nogen tid," bemærker Cortesi, inden han fortsatte med at foreslå, at "måske nogle af de
betændende Sochi sikkerhed skrækhistorier var trods alt troværdige. ”Kilde: Corte.si
Via: ZDnet