'SSL-lek in iOS en Mac OS X wordt actief misbruikt'
Het SSL-lek in iOS en Mac OS X wordt zo goed als zeker op internet misbruikt, aldus onderzoeker Aldo Cortesi, die een tool ontwikkelde waarmee Apple-gebruikers via het lek kunnen worden aangevallen. Apple kwam vorige week met een update voor iOS om het SSL-lek op te lossen.
Het mobiele besturingssysteem bleek de authenticiteit van beveiligde verbindingen niet te controleren. Daardoor was het mogelijk voor een aanvaller om zich tussen de gebruiker en het internet te plaatsen, om vervolgens beveiligde verbindingen af te luisteren zonder dat dit een waarschuwing veroorzaakte. Mac OS X bleek echter ook kwetsbaar te zijn, maar een update voor het besturingssysteem is nog altijd niet beschikbaar.
Mitmproxy
Cortesi is één van de ontwikkelaars van mitmproxy, een tool waarmee internetverkeer in real-time kan worden bekeken door iemand die zich tussen een gebruiker en het internet plaatst. De ontwikkelaar heeft nu een uitbreiding voor mitmproxy gemaakt waarmee het mogelijk is om HTTPS-verkeer op iOS (voor versie 7.0.6) en Mac OS X Mavericks te onderscheppen. Het gaat dan om gebruikersnamen, wachtwoorden en zelfs Apple app-updates.
"Met een tool zoals mitmproxy op de juiste plek kan een aanvaller bijna al het gevoelige verkeer onderscheppen, bekijken en aanpassen. Dit geldt ook voor het softwareupdatemechanisme, dat zelf HTTPS gebruikt", laat Cortesi weten. De ontwikkelaar had minder dan een dag nodig om de patch voor mitmproxy te maken waarmee Apple-gebruikers kunnen worden aangevallen.
"Ik zal de patch [voor mitmproxy - red.] pas publiceren nadat Apple's update is verschenen, maar het is veilig om aan te nemen dat het in het wild wordt misbruikt", gaat Cortesi verder. Hij twijfelt er niet aan dat inlichtingendiensten het SSL-lek al geruime tijd gebruiken.
Nu op het moment hoe veilig je ook werkt,je kan niet om dit gat heen denk ik.
Hopelijk heb je dan nog een goede virusscanner draaien,die als poortwachter je systeem bewaakt tegen dit lek.
Direct na de update werd om mijn Apple ID gevraagd en kort erna kreeg ik het volgende waarschuwingsmailtje:
En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.
-> http://support.apple.com/kb/ht6114
En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.
Apart verhaal.
Update toevallig uitgevoerd via een minder vertrouwd of onbekend wireless netwerk?
Betreft het een verschil in OS X versies toevallig? 10.6 en 10.9?
Weet niet hoe het updaten onder 10.9 gaat maar onder andere OS X versies had je twee update mogelijkheden/kanalen, voor de security updates via Apple Software update had je nooit een Apple ID nodig.
Als dat nog steeds zo is in Mavericks, lijkt me dat toch wel een belangrijk security belletje dat had moeten gaan rinkelen, niet zomaar je apple id invoeren.
Tijd voor een uitgaande firewall en een whitelistje?
artikel : wordt zo goed als zeker op internet misbruikt
zoek de verschillen ... welke titel zou meer clicks/views krijgen ?
security.nl zit ons gewoon voor te liegen, sensatie sensatie, klik hier !! wij willen meer pageview$$
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
