Nieuws

'SSL-lek in iOS en Mac OS X wordt actief misbruikt'

dinsdag 25 februari 2014, 14:23 door Redactie, 7 reacties

Laatst bijgewerkt: 25-02-2014, 15:37

Het SSL-lek in iOS en Mac OS X wordt zo goed als zeker op internet misbruikt, aldus onderzoeker Aldo Cortesi, die een tool ontwikkelde waarmee Apple-gebruikers via het lek kunnen worden aangevallen. Apple kwam vorige week met een update voor iOS om het SSL-lek op te lossen.

Het mobiele besturingssysteem bleek de authenticiteit van beveiligde verbindingen niet te controleren. Daardoor was het mogelijk voor een aanvaller om zich tussen de gebruiker en het internet te plaatsen, om vervolgens beveiligde verbindingen af te luisteren zonder dat dit een waarschuwing veroorzaakte. Mac OS X bleek echter ook kwetsbaar te zijn, maar een update voor het besturingssysteem is nog altijd niet beschikbaar.

Mitmproxy

Cortesi is één van de ontwikkelaars van mitmproxy, een tool waarmee internetverkeer in real-time kan worden bekeken door iemand die zich tussen een gebruiker en het internet plaatst. De ontwikkelaar heeft nu een uitbreiding voor mitmproxy gemaakt waarmee het mogelijk is om HTTPS-verkeer op iOS (voor versie 7.0.6) en Mac OS X Mavericks te onderscheppen. Het gaat dan om gebruikersnamen, wachtwoorden en zelfs Apple app-updates.

"Met een tool zoals mitmproxy op de juiste plek kan een aanvaller bijna al het gevoelige verkeer onderscheppen, bekijken en aanpassen. Dit geldt ook voor het softwareupdatemechanisme, dat zelf HTTPS gebruikt", laat Cortesi weten. De ontwikkelaar had minder dan een dag nodig om de patch voor mitmproxy te maken waarmee Apple-gebruikers kunnen worden aangevallen.

"Ik zal de patch [voor mitmproxy - red.] pas publiceren nadat Apple's update is verschenen, maar het is veilig om aan te nemen dat het in het wild wordt misbruikt", gaat Cortesi verder. Hij twijfelt er niet aan dat inlichtingendiensten het SSL-lek al geruime tijd gebruiken.

Android-virusscanners lekken surfgedrag gebruikers

Voor 1,3 miljard euro fraude met betaalkaarten in Europa

Reacties (7)

25-02-2014, 16:45 door Anoniem

Het wordt gewoon tijd dat er een fix komt in de update van OSX maverics 10.9.2
Nu op het moment hoe veilig je ook werkt,je kan niet om dit gat heen denk ik.
Hopelijk heb je dan nog een goede virusscanner draaien,die als poortwachter je systeem bewaakt tegen dit lek.

25-02-2014, 19:09 door Anoniem

En patch is beschikbaar :-)

25-02-2014, 19:37 door sjonniev - Bijgewerkt: 25-02-2014, 19:38

Update is ondertussen beschikbaar. Geen woord over het ondertussen beroemde goto fail teveel issue.

25-02-2014, 19:53 door Anoniem

Update beschikbaar en nu aan het installeren.

26-02-2014, 00:08 door Briolet

Geen woord van Apple maar volgens diverse testers is het toch opgelost. Zou ook gek zijn bij zo'n goed beschreven bug.

While the summarized patches notes don’t disclose that the SSL bug is patched in 10.9.2, several developers have confirmed that the SSL/TLS “gotofail” security vulnerability bug has been fixed.

Direct na de update werd om mijn Apple ID gevraagd en kort erna kreeg ik het volgende waarschuwingsmailtje:

Uw Apple ID (xxxxxxx@xxxxxx.nl) is gebruikt om in te loggen op FaceTime op een MacBook Pro 13" genaamd “yyyyyyy”.

En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.

26-02-2014, 13:21 door Anoniem

Door sjonniev: Update is ondertussen beschikbaar. Geen woord over het ondertussen beroemde goto fail teveel issue.

Door Briolet: Geen woord van Apple maar volgens diverse testers is het toch opgelost. Zou ook gek zijn bij zo'n goed beschreven bug.

-> http://support.apple.com/kb/ht6114

Direct na de update werd om mijn Apple ID gevraagd en kort erna kreeg ik het volgende waarschuwingsmailtje:

Uw Apple ID (xxxxxxx@xxxxxx.nl) is gebruikt om in te loggen op FaceTime op een MacBook Pro 13" genaamd “yyyyyyy”.

Apart verhaal.
Update toevallig uitgevoerd via een minder vertrouwd of onbekend wireless netwerk?
Betreft het een verschil in OS X versies toevallig? 10.6 en 10.9?
Weet niet hoe het updaten onder 10.9 gaat maar onder andere OS X versies had je twee update mogelijkheden/kanalen, voor de security updates via Apple Software update had je nooit een Apple ID nodig.

Als dat nog steeds zo is in Mavericks, lijkt me dat toch wel een belangrijk security belletje dat had moeten gaan rinkelen, niet zomaar je apple id invoeren.
Tijd voor een uitgaande firewall en een whitelistje?

02-03-2014, 01:57 door AceHighness

titel : word actief muisbruikt
artikel : wordt zo goed als zeker op internet misbruikt

zoek de verschillen ... welke titel zou meer clicks/views krijgen ?

security.nl zit ons gewoon voor te liegen, sensatie sensatie, klik hier !! wij willen meer pageview$$

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer