El consultor de seguridad tarda menos de un día en aprovechar el error "Goto Fail" de OS X
En una nueva publicación de blog, el consultor de seguridad de Nueva Zelanda Aldo Cortesi señala que le tomó menos de un día desarrollar una prueba de concepto para el error crítico de OS X SSL / TLS, conocido como "goto fail".
Al hacer esto, Cortesi ha confirmado en la práctica lo que la gente ya estaba preocupada en teoría: que gracias al error, se pensaba que era el resultado de una línea de código erróneo: casi todo el tráfico cifrado, incluidos los nombres de usuario, las contraseñas e incluso las actualizaciones de aplicaciones de Apple, pueden potencialmente ser capturado.
"He confirmado la intercepción completamente transparente del tráfico HTTPS tanto en IOS (antes de 7.0.6) como en OSX Mavericks", escribió Cortesi.
“Es difícil exagerar la gravedad de este problema. Con una herramienta como mitmproxy en la posición correcta, un atacante puede interceptar, ver y modificar casi todo el tráfico sensible ".
Si bien Cortesi ha dicho que no dará a conocer su prueba de concepto hasta mucho después de que Apple haya solucionado el problema, demuestra una vez más el grave problema que esto representa. “Por supuesto, las agencias de inteligencia sin duda han estado al tanto de esto durante algún tiempo”, señala Cortesi, antes de sugerir que, “quizás algunos de los incendiarias historias de terror sobre seguridad en Sochi eran plausibles después de todo ".
Fuente: Corte.si
Vía: ZDnet