Der bei Cydia angebotene iSSLFix sorgt dafür, dass auch Nutzer von iOS-Geräten mit Jailbreak-Software vor manipulierten Zertifikaten geschützt sind. Mit iOS 4.3.5 hat Apple die SSL-Schwachstelle bereits Ende vergangenen Monats beseitigt, allerdings existiert für diese und die Vorversion 4.3.4 derzeit noch kein persistenter Jailbreak.

Ein Angreifer kann durch die Schwachstelle als Man-in-the-Middle den verschlüsselten Datenverkehr mit manipulierten Zertifikaten belauschen und modifizieren, da iOS bis Version 4.3.4 nicht überprüft, ob der Aussteller eines Zertifikats tatsächlich zur Ausstellung von Zertifikaten berechtigt ist. Mit einem gültigen Zertifikat kann also jedermann beliebige weitere Zertifikate erstellen, die das iOS dann klaglos als gültig anerkennt.

Durch einen Besuch der Webseite iSSL Test kann man herausfinden, ob der Patch tatsächlich greift. Gibt der mobile Safari-Browser beim Öffnen der Seite eine Warnmeldung aus, hat er das manipulierte Zertifikat bemerkt. Ausserdem setzt der iSSLFix einige SSL-Zertifikate auf die Blacklist, die unrechtmäßig nach einem Angriff auf den SSL-Registrar Comodo ausgestellt wurden. Da Apple bereits mit iOS 4.3.2 auf dieses Problem reagiert hat, ist dies nur für Nutzer älterer iOS-Versionen interessant.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE