OS X Mavericksのバグにより、セキュリティ研究者はSSL暗号化トラフィックのほぼすべてを捕捉できる

OS X Mavericks（システム環境設定 001）

先週、iOS で厄介な SSL バグが発見されました。このバグにより、攻撃者が信頼できる Web サイトを装って通信を傍受し、ユーザー名、パスワード、さらにはクレジットカード番号などの機密情報を簡単に盗むことができる危険な中間者攻撃が可能になります。

AppleはiOS 7.0.6のリリースでこの危険なバグを迅速に修正しました。ジェイルブレイクされている場合は、iOS 7.0.6にアップデートしなくてもSSLエクスプロイトを修正できます（方法はこちら）。

残念ながら、Apple 社はまだこの脆弱性に対する OS X の緊急修正プログラムを発表していないため、Mac ユーザーは取り残され、個人情報やパスワードが盗まれる危険にさらされている。

ニュージーランドのセキュリティ研究者は、この脆弱性がこれまで考えられていたよりも危険であることを確認しました。iCloud データ、キーチェーンの登録、Twitter などのアプリからの証明書など、事実上すべての暗号化されたトラフィックが傍受される可能性があります。

Nullcube の Aldo Cortesi 氏はブログ投稿 (ZDNet 経由) で、このエクスプロイトにより、iOS (7.0.6 より前) と OS X Mavericks の両方で HTTPS トラフィックの完全な透過的な傍受が可能になると指摘しました。

この問題の深刻さは、いくら強調してもし過ぎることはありません。mitmproxyのようなツールを適切な場所に設置すれば、攻撃者はほぼすべての機密トラフィックを傍受、閲覧、改ざんすることが可能です。

驚くべきことに、 「ほぼすべての暗号化されたトラフィックをキャプチャできます」。

これには、ユーザー名とパスワードだけでなく、Apple アプリのアップデート、iCloud データ、KeyChain の登録とアップデート、カレンダーアプリケーションのデータ、Mac を探すのアップデート、Twitter などの証明書ピン留めを使用するアプリからのトラフィックも含まれます。

以下はソフトウェア更新トラフィックのキャプチャの例です。

BhSRBOKCAAAUqWH.png-large

Apple は、ソフトウェアアップデートのメカニズムを透過的に破壊できるようになったため、修正プログラムを手動ダウンロードとして提供することを選択する可能性があります。

これは iCloud キーチェーンのトラフィックを傍受するものです。

BhSbLXaCUAASqx-.png-large

不気味ですよね？

彼は 24 時間以内に概念実証の例を開発し、それを一般に公開する予定ですが、その前に Apple が OS X 用のパッチを展開する必要があります。

「これは重大な問題であり、悪意のある者の手に渡れば非常に価値あるものになる可能性があるため、今まさに他の関係者がこの問題に取り組んでいると確信しています」と彼は述べた。 「また、情報機関もこの問題にかなり前から注目していた可能性が高いです」と付け加えた。

案の定、陰謀論者たちはすでにSSLバグとAppleのNSAへの関与の噂との関連性を指摘しています。お使いのブラウザがこの攻撃の影響を受けるかどうかは、以下のgofailウェブサイトにアクセスして確認できます。注：この投稿時点でウェブサイトはダウンしていました。

7d313279-a138-4f47-8ee2-a27843366b0e-460x276

ガーディアン紙は、OS Xの開発に携わっていた元アップル社の社員の言葉を引用し、この欠陥が悪意を持って追加されたとは「少なくとも通常の状況では考えにくい」が、 「十分に賢い人物」であれば通常のプロセスを妨害できた可能性はあると述べている。

Google の Chrome セキュリティ専門家 Adam Langley 氏は次のように書いています。

コードの奥深くに潜むこのような微妙なバグは悪夢です。単なるミスだと信じていますが、エディターに紛れ込ませてこのようなバグを作ってしまった人には本当に申し訳なく思います。

この脆弱性は 1 行のコードから生じています。

アップルの元プログラマーは英国紙に対し、同社には「テストやテスト駆動開発の強い文化がない」とし、 「この種の問題は発見されるはずだった」との見解を示した。

繰り返しになりますが、これは非常に深刻な問題であり、現時点ではお使いのマシンをインターネットから切断する以外に解決策はありません。それが面倒に思える場合は、PayPal、Gmail、Dropboxなど、暗号化されたSSLトラフィックを使用するウェブサイトをMac版Safariで閲覧しないようにするのが最低限の対策です。

さらに良い方法としては、修正が提供されるまでの間、一時的に Mozilla の Firefox、Google の Chrome、または Opera の優れたブラウザに切り替えることができます。

OS X 10.8 Mountain Lion 以前などの古い OS バージョンを使用している場合は安全です。

Appleは以前、広報担当者の口を通して、OS Xの問題に対する修正が「間もなく」リリースされると述べていました。 同社は現在、次期OS X 10.9.2 Mavericksアップデートの最終調整を行っていますが、SSLバグ修正は別途ダウンロードとしてリリースされるものと予想されます。

このバグについて心配ですか?