安全人员尝试利用OS X漏洞捕获SSL通信，耗时不到1天

Jumbo

安全顾问Aldo Cortesi在一篇博文上表示，他只花费了不到1天的时间就利用OS X中的跳转失败安全漏洞捕获了所有SSL加密的通信。他认为其他黑客和攻击者可能早已经这样做，而OS X系统存在的SSL连接安全错误将被利用进行中间人攻击。Cortesi在OS X Mavericks和iOS 7.0.6之前的系统上进行测试，包括用户名、密码，甚至苹果App Store升级都可以被截获，可以截获的所有信息包括：

• App Store和软件升级通信
• iCloud数据、包括钥匙串信息和升级
• 来自日历和提醒事项的数据
• 查找Mac更新
• 各种使用证书通信的应用，比如推特
  

Cortesi表示自己修改了已经存在的中间人代理mitmproxy来攻击漏洞。Cortesi最后表示他会在苹果修复OS X系统安全漏洞后给出更详细的攻击步骤。
MacX.cn 编译 ​