iSSLfix verhelpt beveiligingsprobleem met SSL-certificaten (jailbreak)
De iOS-updates 4.3.4 en 4.3.5 brachten gebruikers geen nieuwe functies maar wel een verbeterde beveiliging. Om een iPhone, iPod touch of iPad (untethered) te kunnen jailbreaken zullen veel gebruikers toch liever gebruik blijven maken van iOS 4.3.3 of eerder. Gelukkig hoeft dat niet ten koste te gaan van de beveiliging van je iDevice. De patch van iOS 4.3.4 van de PDF-exploit waar JailbreakMe.com gebruikt van maakt was in de vorm van PDF Patcher 2 al beschikbaar (zelfs voordat Apple iOS 4.3.4 uitbracht). Nu is het ook mogelijk om met iSSLfix het beveiligingsprobleem met SSL-certificaten op te lossen, zonder dat je daarvoor iOS 4.3.5 hoeft te installeren.
De tweak iSSLfix van @0naj (alias jan0) heeft twee componenten: ten eerste is het een patch voor de SSL-kwetsbaarheid die aanwezig is in iOS 4.3.4 en eerder (CVE-2011-0228). Zonder deze beveiligingsupdate loop je het risico dat een aanvaller verkeer dat via een beveiligde verbinding (HTTPS/SSL) wordt verstuurd kan onderscheppen, waardoor bijvoorbeeld telebankieren of het openen van je e-mail niet meer veilig plaats kan vinden. Daarnaast bevat iSSLfix een zwarte lijst met daarop de vervalste SSL-certificaten van Comodo voor oudere iOS-versies dan 4.3.2.
Om iSSLfix te kunnen installeren via Cydia moet je je in de Expert-modus bevinden. Je kunt hiervoor kiezen door naar Beheren te gaan gevolgd door Pakketten en rechtsbovenin te drukken op Simpel. Na installatie van iSSLfix zul je een reboot uit moeten voeren en kun je vervolgens controleren of jouw iPhone, iPod touch of iPad nog steeds kwetsbaar is voor het beveiligingsprobleem met SSL-certificaten door de website https://issl.recurity.com/ op je toestel te bezoeken. Als je de hieronder getoonde waarschuwing te zien krijgt is de beveiligingsupdate geslaagd en kun je de waarschuwing ook verwachten als er een aanval uitgevoerd zou worden.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
mm. Ik wil eigenlijk weten of het nou echt de moeite waard is om deze patch te installeren. Tegen wat precies wordt het systeem dan beveiligd? Ik weet tot op heden niet precies wat de vulnerabilities zijn..
Heb de fix geinstalleerd en gereboot, maar als ik naar het aangegeven web-adres ga, krijg ik een 403 error. Is er een andere mogelijkheid om te testen?
@zilli: het is https://
@zilli: Het is mogelijk dat een hacker jouw bericht kan lezen/manipuleren als je bijvoorbeeld aan het telebankieren bent. Met name als je gebruik maakt van publieke wifi netwerken, loop je risico.
De fout zit erin dat apple niet checked of dat de certifikaat inderdaad ook door deze instantie uitgegeven had mogen worden.
@zilli
Voor meer informatie kun je terecht in de advisory die wordt gelinkt in het artikel.
@Giel: nota bene – https niet http.
Je moet httpS:// intypen bij dat webadres..
Ook na de herstart kan ik de site bezoeken via https en staat er dat mijn iPhone vulnerable is
Zag het vanochtend in Reeder voorbijkomen.
Vanavond met dank aan TinyUmbrella van 4.3.5 tethered JB terug naar 4.3.3 untethered JB?!
Heb het geïnstalleerd.
In mijn safari krijg ik inderdaad een beveiligingsbericht, maar in mijn Opera Mini niet?
Wat gaat er niet goed ???
Switchen naar Expert modus is niet nodig. Je kunt gewoon isslfix in de Cydia zoekpagina intikken
@Chris: heb je toevallig eerder ingesteld dat je ‘hacker’ of ‘ontwikkelaar’ bent in plaats van ‘gebruiker’?
Nee, vandaag toevallig Cydia geïnstalleerd op een “schone” iPhone, “gebruiker” gekozen en de app opgezocht.
Dit soort fixes maken geen bal uit voor de meeste mensen.. Ik neem aan dat het dezelfde fix is als ze in iOS 4.3.5 hebben verwerkt? Dat je die melding krijgt?
80% van de gebruikers heeft de iPhone, non-jailbroken, vanwege de makkelijkheid. Die drukken gewoon op doorgaan…
Maar goed, natuurlijk geïnstalleerd.. Thanks 🙂
Dank je wel voor de info. Ik krijg de waarschuwing ook binnen dus ik denk dat de installatie is geslaagd.
Ik heb isslfix ook gewoon als gebruiker in Cydia kunnen installeren.