Консультанту з безпеки потрібно менше одного дня, щоб використати помилку "Goto Fail" OS X
У новому пості блог, консультант з питань безпеки Нової Зеландії Алдо Кортезі зазначає, що йому знадобилося менше одного дня, щоб розробити доказ концепції критичної вади OS X SSL/TLS, відомої як "перехід до помилки".
Роблячи це, Кортезі підтвердив на практиці те, що вже хвилювало людей теоретично: це завдяки помилці, яка вважається результат рядка помилкового коду - майже весь зашифрований трафік, включаючи імена користувачів, паролі та навіть оновлення програм Apple, потенційно можуть бути захоплені.
"Я підтвердив повне прозоре перехоплення трафіку HTTPS як в IOS (до 7.0.6), так і в OSX Mavericks", - написав Кортезі.
«Важко переоцінити серйозність цього питання. З таким інструментом, як mitmproxy, у правильному положенні зловмисник може перехоплювати, переглядати та змінювати майже весь чутливий трафік ».
Хоча Кортезі заявив, що він не оприлюднить свій доказ концепції до тих пір, поки Apple не виправить проблему, це знову демонструє, наскільки серйозною проблемою це є. «Звичайно, спецслужби, безперечно, деякий час займалися цим, - зазначає Кортезі, перш ніж припустити, що, можливо, деякі з
запальні жахливі історії безпеки Сочі все -таки було правдоподібним ».Джерело: Corte.si
Через: ZDnet