更新: このバグはOS X 10.9.2で修正されました

セキュリティ コンサルタントの Aldo Cortesi 氏は、ブログ記事 ( ZDNet経由) で、OS X の goto fail バグを悪用してすべての SSL トラフィックをキャプチャするのに 1 日もかからなかったこと、また、これを実行した最初の人物ではない可能性が高いことを述べています。これは、この脆弱性がすでに中間者攻撃に使用されている可能性があることを暗に示唆しています。

iOS（7.0.6以前）とOSX Mavericksの両方で、HTTPSトラフィックの完全な透過的な傍受を確認しました。ユーザー名、パスワード、さらにはAppleアプリのアップデートを含む、ほぼすべての暗号化トラフィックを捕捉できます。これには以下が含まれます。

• アプリストアとソフトウェアアップデートのトラフィック
• iCloudデータ（キーチェーンの登録と更新を含む）
• カレンダーとリマインダーからのデータ
• Macを探すのアップデート
• Twitter などの証明書ピン留めを使用するアプリケーションのトラフィック… 

この概念実証は公開されている情報からまとめられた。コルテシ氏は、既存の中間者プロキシ「mitmproxy」を改変してこのバグを悪用したと述べた。彼は、iCloudキーチェーンのトラフィックやソフトウェアアップデートのデータなど、キャプチャされたSSLデータを示す一連のスクリーンショットをツイートした。

この問題の深刻さは、いくら強調してもし過ぎることはありません。mitmproxyのようなツールを適切な場所に配置すれば、攻撃者はほぼすべての機密トラフィックを傍受、閲覧、改ざんすることが可能です。これは、展開にHTTPSを使用するソフトウェア更新メカニズム自体にも及んでいます。

コルテシ氏は、Apple が OS X にパッチを当てるまでは、傍受を達成した方法についてこれ以上の詳細は明かさないと述べている。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。