[sylver]

iSSLfix ist ein Cydia Tweak, welches ähnlich wie das aktuelle iOS 4.3.5 die Sicherheitslücke von fehlerhaften Zertifikaten unter iOS 4.3.3 und niedriger schließt.

Genauer genommen wurde die Sicherheitslücke von Angreifern genutzt, um verschlüsselte SSL/TLS Kommunikationen im Browser zu überwachen bzw. zu manipulieren. Das Opfer bekommt ein manipuliertes Zertifikat untergeschoben.
Der Hacker hat nun Einblick in die verschlüsselte Daten.

Mit iSSLfix wird das Einschleusen fremder Programmanweisungen verhindert.


Zur Erinnerung:

PDF Patcher 2 aus Cydia schließt die PDF-Sicherheitslücke ähnlich wie iOS 4.3.4.

iSSLfix schließt die Sicherheitslücke von fehlerhaften Zertifikaten ähnlich wie das iOS 4.3.5.


Beide Cydia Tweaks sind in der BigBoss Repo kostenlos verfügbar und können ab iOS 4.3.3 und niedriger installiert werden.


via

[*Leopard*]

Hatte ich mir gestern schon installiert, aber hatte gestern und heute keine Zeit diese Info zu posten.

[derkreuzritter]

Ist es möglich, dass die Zertifikate ohne persöhnliches bestätigen geladen werden? Bisher musste ich das immerhin selber "absegnen", oder werden die auch unbemerkt geladen?

[nachtanbeterin]

Danke für die Info

[*Leopard*]

@derkreuzritter Was meinst du damit? In Cydia musst du die selber installieren. Ansonsten werden sie halt automatisch mit der 4.3.5 installiert.

Steig gerade nicht durch was du meinst.

[sylver]

@derkreuzritter
Auf einer Testseite sieht man, das man nicht gefragt wird. Mit iSSLfix wird die aber geblockt. Ich finde nur diese Testseite nicht mehr.

[derkreuzritter]

@leopard

Na beispielsweise müssen an meiner Uni Sicherheitszertifikate geladen werden, bevor man mit dem iphone/ipad das Lernnetzwerk betreten darf. Das muss man manuell bestätigen. Meine Frage war nun, ob Zertifikate nun auch selber geladen werden. Aber vielleicht bring ich auch was durcheinander.

[sylver]

Nein, da wird nix einfach so geladen

[*Leopard*]

Ach so. Habe das falsch verstanden.

[derkreuzritter]

Hmn. Jetzt ist das passiert, was ich fast befürchtet habe. Es gibt Probleme mit Profilen, bei denen Signierungszertifikate importiert wurden. (Besagtes Uni-Profil) Das ist ja jetzt Mist.

edit: anscheinend ist das/der tweak für leute, die ein konfigurationsprofil mit ssl-zertifikaten importiert haben nicht möglich.

[raudi]

Gestern noch auf dem iPad 2 erfolgreich installiert, wollte ich es heute auch noch bei meinem 3Gs (4.3.3) nachholen, aber isslfix wird nicht gefunden. Ich habe extra noch BigBoss durchgesucht, aber nichts. Ich stehe irgendwie gerade auf dem Schlauch

[sylver]

@raudi
Doch, die ist da. Gerade mal geguckt.

--------------------------------------------------------------------------

Ich finde nur diese Testseite nicht mehr.

So, hab sie wieder gefunden

https://issl.recurity.com

[*Leopard*]

Und diese Meldung bekommt man, wenn man die Seitemit Safari ansurft, wenn man den Fix aus Cydia installiert hat auf einer Firmware kleiner als 4.3.5. Ohne den Fix bekommt man die Meldung nicht

via Mobile Device

[sylver]

Wenn ich es via Cydia ansurfe, bekomm ich das

[raudi]

Tja, nun hat's geklappt. Whatever ...

[lexi1970]

versteh ich das richtig, wenn ich den fix nicht mache, dann könnte jemand meine zugangsdaten ausspähen, wenn ich mich auf der homepage meiner bank ins online banking einlogge?