スマホHack!

未分類

SSL ハンドシェイク弱点が MacOS、MitM 攻撃を iOS デバイスを開く

by  • 

http://www.scmagazineuk.com/ssl-handshake-weakness-leaves-macos-ios-devices-open-to-mitm-attacks/article/568353/

スマホ関連の海外ニュースです。

により、SSL ハンド シェークの根本的な欠点を使用するハッカーは、MacOS および iOS デバイスを転覆し、DDoS 攻撃にそれらを募集します。 IOS と MacOS の最新バージョンに問題可能性があります Apple デバイスを引き継ぐし、DDoS 攻撃でそれらを使用するハッカーを有効にします。 マキシミリアン Arciemowicz セキュリティ研究員によるとモバイルとデスクトップの両方のオペレーティング システム攻撃者が OCSP MiTM 攻撃中に犠牲者の名前 (最大 200 k) を要求を送信することができます弱い OCSP 検証プロセスがあります。 この脆弱性は、Apple MacOS 10.12.1 と iOS 10 の両方に影響します。 彼は言った、アップル社の SecureTransport を信頼し、証明機関または他のものの間で一般的な名前の検証せずに OCSP の Url をチェックします。 “] 攻撃者がネットワーク トラフィックをトリガーするために、OCSP の Url の膨大なリストに自己署名証明書を作成することができる前に知らせる [ing] 信頼されていない証明書についてのユーザー”ブログの記事で述べた。 Arciemowicz は、攻撃のシナリオは些細なと述べた。「攻撃者は犠牲者のいくつかのリソースへリンクは、例えばのような SSL を介して画像を送信 OS の被害者は、OCSP Url に数千個要求を実行するとします。” 多くのユーザーは DDoS 攻撃の一部を無意識のうちになる攻撃、サード パーティのリソースを充てることができますと述べた。HTTPS 要求の 1 つは、他の千の HTTPS 要求数をトリガーできます。 別のシナリオでは、握手時間の延長を前提としています。「7 秒の OCSP 要求の観測タイムアウト。ただし、OCSP 応答のサイズを大きくしようとすることができます。ネットワーク帯域幅を消費する、」するために Arciemowicz は言った。 “IPhone の場合、Safari を再起動が止まらない不良握手。同様を macOS。お勧めデバイスを再起動または OCSP 要求はすべて、有効期限が切れるまで、ネットワークから切断する [ed] 』 彼は警告しました。 アレックス ・ マシューズ、肯定的な技術で EMEA テクニカル マネージャー言った SCMagazineUK.com 欠陥の最小限の結果である DDoS 攻撃に参加。 「攻撃のアプリケーションが HTTP に非常に依存している場合それはユーザーの資格情報を盗む彼に代わって (web アプリのキャッシュ ポイズニングの使用など) いくつかのアクションを実行したりすることが可能かもしれない。 「組織は、発信 OCSP 要求の低下の帯域幅によって、ネットワークからの DDoS 攻撃を防ぐことができます。サーバーを保護するために DDoS (外部から来る) から OCSP の着信要求をブロックする必要があります。ファイアウォールのマルウェア証明書のブロックもお勧め、”と彼は言った。 「パッチ リリースまで OCSP 証明書検証を無効 MacOS を使用している場合。残念ながら iOS に OCSP を使用する証明書の検証を無効にするオプションはありません。さらに iOS と MacOS ユーザーいない不明な Url にアクセスする必要がありますおよび信頼されていないプロキシ、Vpn または Wi-Fi を使用 MitM から彼ら自身を保護するためにポイントにアクセスします」。 この脆弱性についてのコメントをアップルに連絡 SC が、執筆時点で我々 が返事がありません。
続きを読む…

SSL handshake weakness leaves MacOS, iOS devices open to MitM attacks

A fundamental fault in the SSL handshake could allow hackers to use subvert MacOS and iOS devices and recruit them into a DDoS attack. A flaw in the latest versions of both iOS and MacOS could enable hackers to take over Apple devices and use them in a DDoS attack. According to security researcher Maksymilian Arciemowicz, both the mobile and desktop operating systems have a weak OCSP validation process which allows attackers to send OCSP requests (up to 200k) in the name of the victim during a MiTM attack. The vulnerability affects both Apple MacOS 10.12.1 and iOS 10.
Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail

Comments are closed.