O błędzie „goto fail” i niebezpieczeństwach, które się z tym wiążą pisałem już szerzej w związku z aktualizacjami iOS – 7.0.6 i 6.1.6, które łatają lukę. Niestety na zagrożenie wciąż narażone są komputery Mac, ponieważ OS X nie otrzymał jeszcze stosownej aktualizacji.
Konsultant do spraw bezpieczeństwa Aldo Cortesi poinformował, że potrzebował niecały dzień, aby przygotować exploit wykorzystujący błąd w OS X/iOS i przechwytywać dane przesyłane poprzez połączenia SSL. Oczywiście istnieje duże prawdopodobieństwo, że przed nim zrobiły to już inne osoby, ze znacznie odmiennymi zamiarami.
Also interesting – interception of iCould key/value service, including keychain traffic, etc. pic.twitter.com/L08Ab9xtfO
— Aldo Cortesi (@cortesi) February 25, 2014
Aldo Cortesi był w stanie z powodzeniem przeprowadzić atak „man-in-the-middle”, o którym również pisałem w artykule na temat aktualizacji do iOS. Aldo napisał na blogu, że był w stanie odczytać ruch przesyłany za pomocą protokołu HTTPS zarówno z urządzeń z iOS (z wersjami innymi niż 7.0.6 lub 6.1.6), jak i z OS X. Dotyczyło to niemal wszystkich szyfrowanych połączeń i obejmowało ruch generowany przez App Store i aktualizacje oprogramowania, dane z iCloud, w tym te z usługi KeyChain, dane z Kalendarza i Przypomnień, informacje przesyłane przez Find My Mac, i wiele innych aplikacji jak np. Twitter, a tym samym wszystkie loginy i hasła.
Bardzo niebezpieczny wydaje mi się fakt, że możliwe jest przechwycenie informacji o wykonywanych aktualizacjach aplikacji. Ponieważ w chwili, gdy ktoś zaczyna przechwytywać nasz ruch, wszelkie informacje pochodzące z Internetu otrzymujemy tak naprawdę właśnie od niego, mogłoby to także skutkować przesłaniem do nas zmodyfikowanej aplikacji (jako aktualizacji), która mogłaby wykorzystywać chociażby opisywaną dziś przeze mnie inną luką istniejącą w iOS i wyrządzać dalsze szkody w systemie lub doprowadzić do bardziej bezpośredniego przechwytywania kolejnych danych.
Jeśli jeszcze tego nie zrobiliście, to zalecam jak najszybszą aktualizację iOS do wersji 7.0.6 lub 6.1.6, a także OS X, gdy tylko pojawi się update.
[source name=9to5mac url=http://9to5mac.com/2014/02/25/takes-security-consultant-less-than-a-day-to-exploit-os-x-bug-to-capture-all-ssl-traffic/]
