Bezpečnostnému konzultantovi trvá menej ako jeden deň, kým zneužije chybu OS X „Choď Fail“
Novozélandský bezpečnostný poradca Aldo Cortesi v novom blogu uvádza, že vypracovanie dôkazu koncepcie kritickej chyby OS X SSL/TLS známej ako „goto fail“ mu trvalo menej ako jeden deň.
Týmto Cortesi v praxi potvrdil, čoho sa ľudia už teoreticky obávali: že vďaka chybe - považovanej za výsledok radu chybných kódov - potenciálne môže byť takmer všetok šifrovaný prenos vrátane používateľských mien, hesiel a dokonca aj aktualizácií aplikácií Apple zajatý.
"Potvrdil som úplné transparentné zachytenie prenosu HTTPS na IOS (pred 7.0.6) aj OSX Mavericks," napísal Cortesi.
"Je ťažké preceňovať závažnosť tohto problému." S nástrojom, akým je mitmproxy v správnej polohe, môže útočník zachytávať, zobrazovať a upravovať takmer všetku citlivú návštevnosť. “
Aj keď Cortesi povedal, že svoj dôkaz koncepcie nezverejní skôr, ako Apple problém opraví, opäť to ukazuje, aký vážny problém to predstavuje. "Samozrejme, spravodajské služby nad tým už nejaký čas nepochybne stoja," poznamenáva Cortesi a potom naznačuje, že "možno niektoré z
zápalové bezpečnostné hororové príbehy o Soči boli nakoniec vierohodní. “Zdroj: Corte.si
Cez: ZDnet