(tinhte) - iSSLfix (system file) cần cài đặt để fix lỗ hổng bảo mật SSL/TLS với những iOS dưới 4.3.5

Nếu giả sử các bạn hay lướt web đọc tin tức, chat rồi nhấn link nào đó để vào 1 số trang Web mà không rõ nguồn gốc vô tình Bạn đã bị kẻ khác chực chờ và tấn công vào điện thoại của mình thông qua lỗ hổng SSL/TLS và sau đó là khai thác các thông tin cá nhân trên thiết bị ví dụ như : Tài khoản ngân hàng, các application thanh toán trực tiếp, notes, tài khoản mail, v.v.v

Vậy để làm sao xử lý lỗi hổng này để khiến thiết bị của chúng ta an toàn hơn khi truy cập website với các link không rõ hay có thể không an toàn hoặc bạn bè vô tình gây nên?!

Chỉ 1 việc hết sức đơn giản đó là Bạn vào Cydia tìm và cài đặt iSSLfix (file system) tool này được phát triển bời 0naj - một trong số hacker trong làng iPhone (yêu cầu reboot sau khi cài đặt xong để active policy này)

Thêm nội dung thông tin chia sẽ của thành viên trong hội nghị an ninh bảo mật CVE-2011-0228

When a CA issues a certificate to a Web site, the CA will usually set the CA bit of this certificate to false. Assume, the attacker has such a certificate, issued by a trusted CA to attacker.com. The attacker can now use their private key to sign another certificate, which may contain arbitraty data. This could for instance be a certificate for bank.com or even worse, it could be a certificate containing multiple common names: *.*, *.*.*, ..."

Hình ảnh trước khi thực hiện cài đặt iSSLfix. Các Bạn có thể thấy mình vào web không an toàn 1 cách thoải mái mà không nhận bất kỳ 1 thông báo nào về sự kém an toàn của website khiến chúng ta có thể bị tấn công

Link website : https://iSSL.recurity.com do chính Recurity Labs dựng lên cho chúng ta test để kiểm chứng độ mất an toàn




Và đây là hình ảnh đã fix lỗ hổng SSL/TLS thành công sau khi cài đặt iSSLfix.Các Bạn có thể thấy bảng hiển thị sự thông báo thiếu an toàn khi truy cập website này đã được cảnh báo đến người dùng!