| 25 февраля 2014 г. — 3:58 PT
Обновление: Уязвимость была исправлена в OS X 10.9.2
Консультант по безопасности Алдо Кортеси заявил в записи в блоге (через ZDNet), что ему потребовалось менее одного дня, чтобы использовать ошибку goto fail в OS X для перехвата всего SSL-трафика. Он также отметил, что весьма вероятно, что он не первый, кто обнаружил это, что косвенно указывает на возможность использования уязвимости в атаках типа «человек посередине».
Я подтвердил полный прозрачный перехват HTTPS-трафика как на IOS (до версии 7.0.6), так и на OSX Mavericks. Можно перехватить практически весь зашифрованный трафик, включая имена пользователей, пароли и даже обновления приложений Apple. Сюда входят:
- Трафик App Store и обновлений программного обеспечения
- Данные iCloud, включая регистрацию и обновления KeyChain
- Данные из Календаря и Напоминаний
- Обновления Find My Mac
- Трафик для приложений, использующих закрепление сертификатов, таких как Twitter…
Доказательство концепции было собрано из общедоступной информации. Кортеси сообщил, что он модифицировал существующий прокси-сервер для атак «человек посередине», mitmproxy, для использования этой уязвимости. Он опубликовал в Твиттере серию скриншотов, демонстрирующих перехваченные SSL-данные, включая трафик iCloud keychain и данные обновления программного обеспечения.
Трудно переоценить серьезность этой проблемы. С таким инструментом, как mitmproxy, находящимся в нужном месте, злоумышленник может перехватывать, просматривать и изменять почти весь конфиденциальный трафик. Это распространяется и на сам механизм обновления программного обеспечения, который использует HTTPS для развертывания.
Кортеси заявил, что не предоставит более подробную информацию о том, как ему удалось осуществить перехват, пока Apple не исправит OS X.