image

'SSL-lek in iOS en Mac OS X wordt actief misbruikt'

dinsdag 25 februari 2014, 14:23 door Redactie, 7 reacties
Laatst bijgewerkt: 25-02-2014, 15:37

Het SSL-lek in iOS en Mac OS X wordt zo goed als zeker op internet misbruikt, aldus onderzoeker Aldo Cortesi, die een tool ontwikkelde waarmee Apple-gebruikers via het lek kunnen worden aangevallen. Apple kwam vorige week met een update voor iOS om het SSL-lek op te lossen.

Het mobiele besturingssysteem bleek de authenticiteit van beveiligde verbindingen niet te controleren. Daardoor was het mogelijk voor een aanvaller om zich tussen de gebruiker en het internet te plaatsen, om vervolgens beveiligde verbindingen af te luisteren zonder dat dit een waarschuwing veroorzaakte. Mac OS X bleek echter ook kwetsbaar te zijn, maar een update voor het besturingssysteem is nog altijd niet beschikbaar.

Mitmproxy

Cortesi is één van de ontwikkelaars van mitmproxy, een tool waarmee internetverkeer in real-time kan worden bekeken door iemand die zich tussen een gebruiker en het internet plaatst. De ontwikkelaar heeft nu een uitbreiding voor mitmproxy gemaakt waarmee het mogelijk is om HTTPS-verkeer op iOS (voor versie 7.0.6) en Mac OS X Mavericks te onderscheppen. Het gaat dan om gebruikersnamen, wachtwoorden en zelfs Apple app-updates.

"Met een tool zoals mitmproxy op de juiste plek kan een aanvaller bijna al het gevoelige verkeer onderscheppen, bekijken en aanpassen. Dit geldt ook voor het softwareupdatemechanisme, dat zelf HTTPS gebruikt", laat Cortesi weten. De ontwikkelaar had minder dan een dag nodig om de patch voor mitmproxy te maken waarmee Apple-gebruikers kunnen worden aangevallen.

"Ik zal de patch [voor mitmproxy - red.] pas publiceren nadat Apple's update is verschenen, maar het is veilig om aan te nemen dat het in het wild wordt misbruikt", gaat Cortesi verder. Hij twijfelt er niet aan dat inlichtingendiensten het SSL-lek al geruime tijd gebruiken.

Reacties (7)
25-02-2014, 16:45 door Anoniem
Het wordt gewoon tijd dat er een fix komt in de update van OSX maverics 10.9.2
Nu op het moment hoe veilig je ook werkt,je kan niet om dit gat heen denk ik.
Hopelijk heb je dan nog een goede virusscanner draaien,die als poortwachter je systeem bewaakt tegen dit lek.
25-02-2014, 19:09 door Anoniem
En patch is beschikbaar :-)
25-02-2014, 19:37 door sjonniev - Bijgewerkt: 25-02-2014, 19:38
Update is ondertussen beschikbaar. Geen woord over het ondertussen beroemde goto fail teveel issue.
25-02-2014, 19:53 door Anoniem
Update beschikbaar en nu aan het installeren.
26-02-2014, 00:08 door Briolet
Geen woord van Apple maar volgens diverse testers is het toch opgelost. Zou ook gek zijn bij zo'n goed beschreven bug.

While the summarized patches notes don’t disclose that the SSL bug is patched in 10.9.2, several developers have confirmed that the SSL/TLS “gotofail” security vulnerability bug has been fixed.

Direct na de update werd om mijn Apple ID gevraagd en kort erna kreeg ik het volgende waarschuwingsmailtje:

Uw Apple ID (xxxxxxx@xxxxxx.nl) is gebruikt om in te loggen op FaceTime op een MacBook Pro 13" genaamd “yyyyyyy”.

En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.
26-02-2014, 13:21 door Anoniem
Door sjonniev: Update is ondertussen beschikbaar. Geen woord over het ondertussen beroemde goto fail teveel issue.
Door Briolet: Geen woord van Apple maar volgens diverse testers is het toch opgelost. Zou ook gek zijn bij zo'n goed beschreven bug.

-> http://support.apple.com/kb/ht6114

Direct na de update werd om mijn Apple ID gevraagd en kort erna kreeg ik het volgende waarschuwingsmailtje:

Uw Apple ID (xxxxxxx@xxxxxx.nl) is gebruikt om in te loggen op FaceTime op een MacBook Pro 13" genaamd “yyyyyyy”.

En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.

Apart verhaal.
Update toevallig uitgevoerd via een minder vertrouwd of onbekend wireless netwerk?
Betreft het een verschil in OS X versies toevallig? 10.6 en 10.9?
Weet niet hoe het updaten onder 10.9 gaat maar onder andere OS X versies had je twee update mogelijkheden/kanalen, voor de security updates via Apple Software update had je nooit een Apple ID nodig.

Als dat nog steeds zo is in Mavericks, lijkt me dat toch wel een belangrijk security belletje dat had moeten gaan rinkelen, niet zomaar je apple id invoeren.
Tijd voor een uitgaande firewall en een whitelistje?
02-03-2014, 01:57 door AceHighness
titel : word actief muisbruikt
artikel : wordt zo goed als zeker op internet misbruikt

zoek de verschillen ... welke titel zou meer clicks/views krijgen ?

security.nl zit ons gewoon voor te liegen, sensatie sensatie, klik hier !! wij willen meer pageview$$
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.