'SSL-lek in iOS en Mac OS X wordt actief misbruikt'
Het SSL-lek in iOS en Mac OS X wordt zo goed als zeker op internet misbruikt, aldus onderzoeker Aldo Cortesi, die een tool ontwikkelde waarmee Apple-gebruikers via het lek kunnen worden aangevallen. Apple kwam vorige week met een update voor iOS om het SSL-lek op te lossen.
Het mobiele besturingssysteem bleek de authenticiteit van beveiligde verbindingen niet te controleren. Daardoor was het mogelijk voor een aanvaller om zich tussen de gebruiker en het internet te plaatsen, om vervolgens beveiligde verbindingen af te luisteren zonder dat dit een waarschuwing veroorzaakte. Mac OS X bleek echter ook kwetsbaar te zijn, maar een update voor het besturingssysteem is nog altijd niet beschikbaar.
Mitmproxy
Cortesi is één van de ontwikkelaars van mitmproxy, een tool waarmee internetverkeer in real-time kan worden bekeken door iemand die zich tussen een gebruiker en het internet plaatst. De ontwikkelaar heeft nu een uitbreiding voor mitmproxy gemaakt waarmee het mogelijk is om HTTPS-verkeer op iOS (voor versie 7.0.6) en Mac OS X Mavericks te onderscheppen. Het gaat dan om gebruikersnamen, wachtwoorden en zelfs Apple app-updates.
"Met een tool zoals mitmproxy op de juiste plek kan een aanvaller bijna al het gevoelige verkeer onderscheppen, bekijken en aanpassen. Dit geldt ook voor het softwareupdatemechanisme, dat zelf HTTPS gebruikt", laat Cortesi weten. De ontwikkelaar had minder dan een dag nodig om de patch voor mitmproxy te maken waarmee Apple-gebruikers kunnen worden aangevallen.
"Ik zal de patch [voor mitmproxy - red.] pas publiceren nadat Apple's update is verschenen, maar het is veilig om aan te nemen dat het in het wild wordt misbruikt", gaat Cortesi verder. Hij twijfelt er niet aan dat inlichtingendiensten het SSL-lek al geruime tijd gebruiken.
Nu op het moment hoe veilig je ook werkt,je kan niet om dit gat heen denk ik.
Hopelijk heb je dan nog een goede virusscanner draaien,die als poortwachter je systeem bewaakt tegen dit lek.
Direct na de update werd om mijn Apple ID gevraagd en kort erna kreeg ik het volgende waarschuwingsmailtje:
En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.
-> http://support.apple.com/kb/ht6114
En ik gebruik FaceTime nooit, maar de tijd van het mailtje versturen was de tijd van updaten en het was mijn computer. FaceTime zelf is ook geupdate maar ik heb het nooit geopend.
Daarna heb ik een andere Mac geupdate, maar daar werd in et geheel niet opnieuw om mijn Apple ID gevraagd. Vreemd dat verschil.
Apart verhaal.
Update toevallig uitgevoerd via een minder vertrouwd of onbekend wireless netwerk?
Betreft het een verschil in OS X versies toevallig? 10.6 en 10.9?
Weet niet hoe het updaten onder 10.9 gaat maar onder andere OS X versies had je twee update mogelijkheden/kanalen, voor de security updates via Apple Software update had je nooit een Apple ID nodig.
Als dat nog steeds zo is in Mavericks, lijkt me dat toch wel een belangrijk security belletje dat had moeten gaan rinkelen, niet zomaar je apple id invoeren.
Tijd voor een uitgaande firewall en een whitelistje?
artikel : wordt zo goed als zeker op internet misbruikt
zoek de verschillen ... welke titel zou meer clicks/views krijgen ?
security.nl zit ons gewoon voor te liegen, sensatie sensatie, klik hier !! wij willen meer pageview$$
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.