Oligur

• ニュース

ニュージーランドのセキュリティ コンサルタント、アルド コルテシ氏は新しいブログ投稿で、「goto fail」として知られる重大な OS X SSL/TLS バグの概念実証を開発するのに 1 日もかからなかったと述べています。

コルテシ氏はこうすることで、人々が理論上はすでに懸念していたことを実際に確認した。つまり、一行の誤ったコードが原因と考えられるこのバグによって、ユーザー名、パスワード、さらにはAppleアプリのアップデートを含む、ほぼすべての暗号化されたトラフィックが潜在的に捕捉される可能性があるということだ。

「IOS（7.0.6以前）とOSX Mavericksの両方で、HTTPSトラフィックの完全な透過的な傍受を確認しました」とコルテシ氏は書いている。

「この問題の深刻さは、いくら強調してもし過ぎることはありません。mitmproxyのようなツールを適切な場所に配置すれば、攻撃者はほぼすべての機密トラフィックを傍受、閲覧、改ざんすることが可能です。」

コルテシ氏は、Appleがこの問題にパッチを当てるまでは概念実証を公開しないと述べているが、今回の件は、この問題がどれほど深刻なものであるかを改めて示している。「もちろん、諜報機関は間違いなくこの問題をかなり前から把握していた」とコルテシ氏は指摘し、「ソチで話題になったセキュリティ関連の恐怖話のいくつかは、結局はあり得るものだったのかもしれない」と示唆している。

出典: Corte.si

出典: ZDnet