Øredøvende stillhet. Slik beskriver anerkjente Forbes Apples reaksjon, eller snarere mangel på reaksjon etter avsløringene av den såkalte goto-feilen.
Et kritisk hull har i halvannet år preget Apples SSL/TLS-implementering. Da en feilfiks ble utgitt helt i det stille til iOS før helgen, dumpet Apple i realiteten en nulldagssårbarhet (CVE-2014-1266) over på brukerne sine. Uten forvarsel.
Det ble nemlig raskt klart at sårbarheten også rammer OS X. Etter mange dager har Apple verken beskrevet farene dette medfører, langt mindre kommet med en svært etterlengtet oppdatering.
Hvem som helst kan nå enkelt kapre innholdet i kryptert trafikk fra Mac-maskiner, såfremt angriperen befinner seg i samme nettverk. Det samme gjelder iPad- og iPhone-brukere som ikke har oppdatert til iOS 7.0.6.
Under ett døgn
Aldo Cortesi, en sikkerhetskonsulent fra New Zealand, har nå laget et fungerende konseptbevis på utnyttelse av sårbarheten. Det tok mindre enn 24 timer, forklarer han i et illevarslende blogginnlegg.
– Vi viste at forholdet i teorien burde gi full adgang til alt innhold i SSL-basert trafikk grunnet Apples ødelagte implementering. Dette kan jeg nå bekrefte, skriver Cortesi, som jobber for sikkerhetsselskapet Nullcube.
Nær sagt all SSL-kryptert datatrafikk kan bli avlyttet forklarer han. Det omfatter brukernavn, passord, ja selv Apples egne programvareoppdateringer.
Videre er data fra skytjenesten iCloud, inkludert KeyChain og oppdateringer, data fra kalender og påminnelser i OS X, Find My Mac-oppdateringer, samt trafikk fra en del mobilapplikasjoner som baserer seg på sikkerhetssertifikater, deriblant Twitter.
Google Chrome og Firefox er ikke omfattet. Det er fordi disse nettleserne er basert på andre SSL-implementeringer. Apples egen Safari-nettleser er derimot ikke skånet fra sårbarheten.
Verktøyet Cortesi har skapt er en variant av mitmproxy, spesielt laget for å avskjære, manipulere og lagre nettrafikk mellom et offer og en server. MITM, eller man-in-the-middle, er et angrep som utnytter dette prinsippet.
– Det er vanskelig å overdrive alvoret i denne saken. Med et verktøy som mitmproxy på rette sted (i samme nettverk som offeret, journ.anm.), kan en angriper fange opp, vise og endre nær sagt all sensitiv datatrafikk. Dette omfatter til og med selve mekanismen for programvareoppdateringer, som også benytter HTTPS for distribusjon, skriver sikkerhetskonsulenten.
Spørsmålet alle bør stille seg er hvorfor Apple ikke makter å advare kundene om problemet. Og ikke minst hvor lang tid det bør ta et av verdens største selskaper å utgi en sikkerhetsfiks for et 18 måneder gammelt hull. Hadde det ikke vært for uavhengige sikkerhetseksperter og presseomtale ville ikke Apple-brukere visst om sårbarheten over hodet.
I mellomtiden har den norske Tor-utvikleren og sikkerhetsforskeren Runa A. Sandvik, som er en av de som har diskutert sårbarheten inngående på Twitter, opprettet et eget nettsted «Has Goto Fail Been Fixed Yet?». Svaret er i skrivende stund «nei».
Leave a Reply