Vor ein paar Tagen hatte osxreverser auf Twitter gefragt, ob die Updates für XProtect-Updates unverschlüsselt über HTTP laufen, weil es cool wäre, die dann abzufangen und Chaos zu verursachen. Oder ob die signiert wären? Er überlegt dann, die Kommunikation mit tcpdump zu überprüfen.
Da ich als iOS-Entwickler regelmäßig den Netzverkehr von Anwendungen untersuchen muß, wußte ich, daß das einfacher geht. Man braucht nicht so low-level mit tcpdump auf Paketebene rangehen, wenn man HTTP(S)-Kommunikation untersuchen will. Man leitet stattdessen den Netzverkehr einfach über einen HTTP(S)-Proxy wie "Charles", eine Mac-Anwendung, und sieht die Kommunikation sauber gegliedert im Klartext. Das habe ich dann gemacht und so sieht es aus, wenn OS X sich ein Update für die XProtect-Liste holt.
Klar zu erkennen ist die Signatur in der Antwort, an der OS X die Integrität der Nachricht überprüfen kann. Also kein Spaß für den osxreverser, aber mehr Sicherheit für OS X-User.