A biztonsági tanácsadó kevesebb, mint egy napot vesz igénybe, hogy kihasználja az OS X „Goto Fail” hibáját
Egy új blogbejegyzésben Aldo Cortesi új -zélandi biztonsági tanácsadó megjegyzi, hogy kevesebb mint egy napba telt, amíg kidolgozta a koncepció -bizonyítékot a kritikus OS X SSL/TLS hibára, amelyet „goto fail” néven ismernek.
Ezzel Cortesi a gyakorlatban megerősítette azt, amit az emberek elméletileg már aggasztottak: hogy a hibának köszönhetően egy hibás kód eredménye - szinte minden titkosított forgalom, beleértve a felhasználóneveket, jelszavakat és akár az Apple alkalmazásfrissítéseit is elfogták.
„Megerősítettem a HTTPS forgalom teljes átlátható lehallgatását mind az IOS -on (7.0.6 előtt), mind az OSX Mavericks -en” - írta Cortesi.
„Nehéz túlértékelni ennek a kérdésnek a súlyosságát. Egy olyan eszközzel, mint a mitmproxy a megfelelő helyzetben, a támadó szinte minden érzékeny forgalmat elfoghat, megtekinthet és módosíthat. ”
Míg Cortesi azt mondta, hogy csak akkor adja ki koncepcióját, ha jóval azután, hogy az Apple javította a problémát, ez ismét bizonyítja, hogy ez milyen komoly problémát jelent. „Természetesen a hírszerző ügynökségek kétségkívül egy ideje ezen a téren vannak fent” - jegyzi meg Cortesi, mielőtt azt sugallná, hogy „talán néhány
gyulladásos szocsi biztonsági horror történetek végül is hihetőek voltak. ”Forrás: Corte.si
Keresztül: ZDnet