보안 컨설턴트가 OS X 'Goto Fail' 버그를 악용하는 데 하루도 걸리지 않습니다.
새로운 블로그 포스트에서 뉴질랜드 보안 컨설턴트 Aldo Cortesi는 "고토 실패"로 알려진 중요한 OS X SSL/TLS 버그에 대한 개념 증명을 개발하는 데 하루도 채 걸리지 않았다고 말합니다.
이렇게 함으로써 Cortesi는 사람들이 이론상으로 이미 걱정했던 것을 실제로 확인했습니다. 버그 덕분에 — 잘못된 코드 줄의 결과 — 사용자 이름, 암호 및 Apple 앱 업데이트를 포함한 거의 모든 암호화된 트래픽이 잠재적으로 캡처.
Cortesi는 "IOS(7.0.6 이전)와 OSX Mavericks 모두에서 HTTPS 트래픽을 완전히 투명하게 가로채는 것을 확인했습니다."라고 썼습니다.
“이 문제의 심각성을 과장하기는 어렵습니다. 적절한 위치에 mitmproxy와 같은 도구를 사용하면 공격자가 거의 모든 민감한 트래픽을 가로채고 확인하고 수정할 수 있습니다.”
Cortesi는 Apple이 문제를 패치한 후에도 개념 증명을 공개하지 않을 것이라고 말했지만 이것이 얼마나 심각한 문제인지 다시 한 번 보여줍니다. Cortesi는 계속해서 다음과 같이 제안하기 전에 "물론 정보 기관은 의심의 여지없이 한동안 이 문제를 해결해 왔습니다. 선동적인 소치 안보 공포 이야기 결국 그럴싸했다."
글을 쓰는 시점에서 애플은 아직 OS X Mavericks용 패치를 출시하지 않았으며, 주말에 iOS를 패치했음에도 불구하고.
원천: 코르테시
을 통해: 지디넷