Het SSL-lek in iOS en Mac OS X wordt zo goed als zeker op internet misbruikt, aldus onderzoeker Aldo Cortesi, die een tool ontwikkelde waarmee Apple-gebruikers via het lek kunnen worden aangevallen. Apple kwam vorige week met een update voor iOS om het SSL-lek op te lossen.
Het mobiele besturingssysteem bleek de authenticiteit van beveiligde verbindingen niet te controleren. Daardoor was het mogelijk voor een aanvaller om zich tussen de gebruiker en het internet te plaatsen, om vervolgens beveiligde verbindingen af te luisteren zonder dat dit een waarschuwing veroorzaakte. Mac OS X bleek echter ook kwetsbaar te zijn, maar een update voor het besturingssysteem is nog altijd niet beschikbaar.
Cortesi is één van de ontwikkelaars van mitmproxy, een tool waarmee internetverkeer in real-time kan worden bekeken door iemand die zich tussen een gebruiker en het internet plaatst. De ontwikkelaar heeft nu een uitbreiding voor mitmproxy gemaakt waarmee het mogelijk is om HTTPS-verkeer op iOS (voor versie 7.0.6) en Mac OS X Mavericks te onderscheppen. Het gaat dan om gebruikersnamen, wachtwoorden en zelfs Apple app-updates.
"Met een tool zoals mitmproxy op de juiste plek kan een aanvaller bijna al het gevoelige verkeer onderscheppen, bekijken en aanpassen. Dit geldt ook voor het softwareupdatemechanisme, dat zelf HTTPS gebruikt", laat Cortesi weten. De ontwikkelaar had minder dan een dag nodig om de patch voor mitmproxy te maken waarmee Apple-gebruikers kunnen worden aangevallen.
"Ik zal de patch [voor mitmproxy - red.] pas publiceren nadat Apple's update is verschenen, maar het is veilig om aan te nemen dat het in het wild wordt misbruikt", gaat Cortesi verder. Hij twijfelt er niet aan dat inlichtingendiensten het SSL-lek al geruime tijd gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.