Beveiligingsadviseur heeft minder dan een dag nodig om de OS X 'Goto Fail'-bug te exploiteren
In een nieuwe blogpost merkt de Nieuw-Zeelandse beveiligingsadviseur Aldo Cortesi op dat het hem minder dan een dag kostte om een proof of concept te ontwikkelen voor de kritieke OS X SSL/TLS-bug, bekend als "goto fail".
Door dit te doen heeft Cortesi in de praktijk bevestigd waar mensen zich in theorie al zorgen over maakten: dat dankzij de bug - waarvan gedacht werd dat het de resultaat van een regel foutieve code - bijna al het versleutelde verkeer, inclusief gebruikersnamen, wachtwoorden en zelfs Apple app-updates kan mogelijk worden gevangen genomen.
"Ik heb volledige transparante onderschepping van HTTPS-verkeer op zowel IOS (vóór 7.0.6) als OSX Mavericks bevestigd", schreef Cortesi.
“Het is moeilijk om de ernst van dit probleem te overschatten. Met een tool als mitmproxy op de juiste positie kan een aanvaller bijna al het gevoelige verkeer onderscheppen, bekijken en wijzigen.”
Hoewel Cortesi heeft gezegd dat hij zijn proof-of-concept pas zal vrijgeven nadat Apple het probleem heeft gepatcht, toont het opnieuw aan wat een serieus probleem dit vertegenwoordigt. “Natuurlijk zitten inlichtingendiensten hier al een tijdje bovenop”, merkt Cortesi op, alvorens verder te suggereren dat “misschien enkele van de
opruiende Sotsji-horrorverhalen over veiligheid waren toch aannemelijk.”Bron: Corte.si
Via: ZDnet