- PVSM.RU - https://www.pvsm.ru -
Так называемый «великий китайский файрвол» освоил работу с iCloud и теперь перехватывает трафик от китайских пользователей Apple к серверам iCloud.
Исследователи из организации Greatfire.org выложили доказательства [1] MiTM-атаки, при которой власти получают конфиденциальную информацию пользователей: сообщения iMessage, контакты, фотографии и проч.
Атака осуществляется с помощью поддельного цифрового сертификата: если пользователь невнимателен и проигнорирует предупреждение, то его соединение с iCloud будет шифроваться ключами китайского правительства.
Предупреждение о неправильном сертификате при попытке подключиться к https://www.icloud.com
Работа iCloud через китайский MiTM-прокси
Пока поддельный сертификат предлагают только при попытке подключения к IP-адресу 23.59.94.46. То есть не все китайские пользователи страдают, потому что iCloud DNS может возвращать и другие IP-адреса.
Wirecapture with MITM: www.cloudshark.org/captures/03a6b0593436 [2]
Самоподписанный сертификат, используемый в атаке: http://www.mediafire.com/download/ampbnqncc277krv/fakeicloudcert.zip [3]
Лог соединения: http://pastebin.com/tN7kbDV3 [4]
Traceroute: http://pastebin.com/8Y6ZwfzG [5]
Hotmail MITM
Wirecap: https://www.cloudshark.org/captures/6011389a8ea3 [6]
TCP Traceroute: https://twitter.com/siyanmao/status/518963824481681408 [7]
Автор: alizar
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/72185
Ссылки в тексте:
[1] выложили доказательства: https://en.greatfire.org/blog/2014/oct/china-collecting-apple-icloud-data-attack-coincides-launch-new-iphone
[2] www.cloudshark.org/captures/03a6b0593436: https://www.cloudshark.org/captures/03a6b0593436
[3] http://www.mediafire.com/download/ampbnqncc277krv/fakeicloudcert.zip: http://www.mediafire.com/download/ampbnqncc277krv/fakeicloudcert.zip
[4] http://pastebin.com/tN7kbDV3: http://pastebin.com/tN7kbDV3
[5] http://pastebin.com/8Y6ZwfzG: http://pastebin.com/8Y6ZwfzG
[6] https://www.cloudshark.org/captures/6011389a8ea3: https://www.cloudshark.org/captures/6011389a8ea3
[7] https://twitter.com/siyanmao/status/518963824481681408: https://twitter.com/siyanmao/status/518963824481681408
[8] Источник: http://habrahabr.ru/post/240993/
Нажмите здесь для печати.