Китай осуществляет MiTM-атаку на пользователей iCloud

Так называемый «великий китайский файрвол» освоил работу с iCloud и теперь перехватывает трафик от китайских пользователей Apple к серверам iCloud.Исследователи из организации Greatfire.org выложили доказательства MiTM-атаки, при которой власти получают конфиденциальную информацию пользователей: сообщения iMessage, контакты, фотографии и проч.

Атака осуществляется с помощью поддельного цифрового сертификата: если пользователь невнимателен и проигнорирует предупреждение, то его соединение с iCloud будет шифроваться ключами китайского правительства.

Предупреждение о неправильном сертификате при попытке подключиться к https://www.icloud.com6ba2bd697567444d9edff8667d2442a1.pngРабота iCloud через китайский MiTM-прокси06aa10c8658940baa66f3a19e7aad9a8.png

Пока поддельный сертификат предлагают только при попытке подключения к IP-адресу 23.59.94.46. То есть не все китайские пользователи страдают, потому что iCloud DNS может возвращать и другие IP-адреса.

Wirecapture with MITM: www.cloudshark.org/captures/03a6b0593436

Самоподписанный сертификат, используемый в атаке: http://www.mediafire.com/download/ampbnqncc277krv/fakeicloudcert.zip

Лог соединения: http://pastebin.com/tN7kbDV3

Traceroute: http://pastebin.com/8Y6ZwfzG

Hotmail MITM5c3d0d6fef5a44079abc8128318be985.png

Wirecap: https://www.cloudshark.org/captures/6011389a8ea3

TCP Traceroute: https://twitter.com/siyanmao/status/518963824481681408

© Habrahabr.ru