zurück zum Artikel

"goto fail": Demo-Exploit für SSL-Schwachstelle in iOS und OS X

Leo Becker

Der Sicherheitsforscher Aldo Cortesi hat sein Tool mitmproxy angepasst, um den verschlüsselten Datenverkehr von ungepatchten iOS-Geräten und Macs mit OS X 10.9 Mavericks mitzuschneiden. Fast alles lasse sich mitlesen, so Cortesi.

Es habe ihn keinen ganzen Tag gekostet, mit seinem Tool mitmproxy [1] Apples fehlerhafte SSL-Implementierung auszunutzen, berichtet [2] der Sicherheitsforscher Aldo Cortesi in einem Blogeintrag am Dienstag. Auf diese Weise konnte er HTTPS-Verbindungen von iOS-Geräten (außer mit iOS 7.0.6) und Macs mit OS X 10.9 Mavericks abhören – und "fast allen" verschlüsselten Traffic vollständig mitschneiden, inklusive der Benutzernamen und Passwörter, betont Cortesi.

Aldo Cortesi

Mitgeschnittene HTTPS-Kommunikation mit der OS-X-Softwareaktualisierung

(Bild: Aldo Cortesi [3] )

Darunter fallen Verbindungen zum App Store sowie der Softwareaktualisierung, iCloud-Daten (inklusive Registrierung für den Schlüsselbund-Sync), Kalendereinträge und Erinnerungen, Find-My-Mac-Updates und der Datenverkehr von bestimmten Programmen wie dem Twitter-Client, erklärt der Sicherheitsforscher.

Es sei schwierig, den Ernst des Problems übertrieben darzustellen, so Cortesi, der die Anpassung für mitmproxy vorerst nicht veröffentlichen will. Es seien einige "spezielle Dinge" erforderlich, um die Schwachstelle auszunutzen, schreibt [4] der Sicherheitsforscher auf Twitter. Details will er nennen, wenn Apple das Problem beseitigt hat.

Apple hat die gravierende SSL-Schwachstelle [5] mit iOS 7.0.6, iOS 6.1.6 [6] und Apple TV 6.0.2 am vergangenen Freitag behoben – für Macs mit OS X 10.9 Mavericks steht bis jetzt allerdings kein Update [7] bereit, die nun weithin bekannte Lücke lässt sich nach wie vor ausnutzen. Dazu muss der Angreifer im selben Netzwerk sein.

[Update 26.02.2014 13:05 Uhr] Apple hat die SSL-Schwachstelle am Dienstagabend mit OS X 10.9.2 [8] beseitigt. (lbe [9])

URL dieses Artikels:
https://www.heise.de/-2123763

Links in diesem Artikel:
[1] http://mitmproxy.org/index.html
[2] http://corte.si/posts/security/cve-2014-1266.html
[3] https://twitter.com/cortesi/status/438134514066288641/photo/1
[4] https://twitter.com/cortesi/status/438217461171638273
[5] https://www.heise.de/hintergrund/Diverse-Personen-arbeiten-daran-diesen-Angriff-in-ihre-Tools-einzubauen-2121951.html
[6] https://www.heise.de/news/Sicherheitsupdate-fuer-iOS-6-und-7-2121441.html
[7] https://www.heise.de/news/OS-X-Mavericks-Weiter-warten-auf-den-SSL-Fix-2123318.html
[8] https://www.heise.de/news/goto-fail-Mac-OS-X-10-9-2-beseitigt-SSL-Schwachstelle-2122971.html
[9] mailto:lbe@heise.de

Copyright © 2014 Heise Medien