Varnostni svetovalec potrebuje manj kot en dan, da izkoristi napako »Goto Fail« OS X
V novi objavi na blogu novozelandski varnostni svetovalec Aldo Cortesi ugotavlja, da je potreboval manj kot en dan, da je razvil dokaz koncepta kritične napake OS X SSL/TLS, znane kot »goto fail«.
S tem je Cortesi v praksi potrdil tisto, kar je ljudi teoretično že skrbelo: to je po zaslugi hrošča, za katerega menijo, da je posledica vrstice napačne kode - skoraj ves šifriran promet, vključno z uporabniškimi imeni, gesli in celo posodobitvami aplikacij Apple, je lahko potencialno ujeti.
"Potrdil sem popolno pregledno prestrezanje prometa HTTPS tako na IOS (pred 7.0.6) kot na OSX Mavericks," je zapisal Cortesi.
"Resnost tega vprašanja je težko preceniti. Z orodjem, kot je mitmproxy, v pravem položaju, lahko napadalec prestreže, prikaže in spremeni skoraj ves občutljiv promet. "
Čeprav je Cortesi dejal, da svojega dokaza o konceptu ne bo izdal šele, ko bo Apple težavo popravil, to znova dokazuje, kako resen problem to predstavlja. "Seveda so obveščevalne agencije nedvomno že nekaj časa nad tem," ugotavlja Cortesi, preden je nadaljeval z domnevo, da "morda nekatere od
vnetljive grozljivke o varnosti v Sočiju navsezadnje bili verjetni. "Vir: Corte.si
Preko: ZDnet