Alat yang dijuluki Nogotofail, telah digunakan secara internal oleh Tim Keamanan Android untuk beberapa waktu. Namun, pada hari Selasa, itu dirilis sebagai proyek open source untuk memungkinkan orang untuk menguji aplikasi mereka dan berkontribusi untuk membuat alat yang lebih baik.
"Nogotofail bekerja untuk Android, iOS, Linux, Windows, Chrome OS, OSX, bahkan perangkat yang Anda gunakan untuk terhubung ke Internet. Ada klien yang mudah digunakan untuk mengkonfigurasi pengaturan dan mendapatkan pemberitahuan tentang Android dan Linux, sebagai serta mesin serangan itu sendiri yang dapat digunakan sebagai router, server VPN, atau proxy, " Keamanan Android Insinyur Chad Brubaker, salah satu pengembang alat, menulis dalam sebuah posting di blog online Keamanan Google.
Dokumentasi diterbitkan untuk Nogotofail menunjukkan bahwa alat ini terdiri dari sebuah on-jalur jaringan man-in-the-middle komponen (MITM) yang memotong lalu lintas TCP, dan klien opsional yang dapat diinstal pada perangkat yang diuji. Klien ini berjalan pada perangkat dan berkomunikasi dengan MITM untuk membantu menentukan komponen atau aplikasi membuat koneksi rentan.
"[Nogotofail] mencakup pengujian untuk masalah verifikasi sertifikat SSL umum, HTTPS dan TLS perpustakaan / SSL bug, SSL dan STARTTLS masalah stripping, masalah teks-jelas, dan banyak lagi," tulis Brubaker dalam catatan rilis.
Google merilis tool berikut beberapa laporan kekurangan TLS / SSL. Bahkan, nama alat ini terinspirasi oleh "goto fail," bug SSL mempengaruhi iOS Apple dan sistem operasi OS X (CVE-2014-1266).
Hanya beberapa minggu sebelum keberadaan / OS masalah X iOS terungkap, para peneliti melaporkan mengungkap kerentanan baru dalam TLS dan Datagram TLS (DTLS) protokol yang bisa dimanfaatkan untuk memulihkan plaintext dari TLS koneksi / DTLS ketika CBC-mode enkripsi digunakan.
Bahkan lebih serius kerentanan diungkapkan pada bulan April. The Heartbleed bug (CVE-2014-0160), yang mempengaruhi OpenSSL perpustakaan kriptografi, lebih dari sekedar cacat teoritis. Aktor jahat memanfaatkan Heartbleed pada beberapa kesempatan untuk mendapatkan akses ke data yang sensitif.
Baru-baru ini, peneliti menemukan POODLE, cacat dalam SSL 3.0 (CVE-2014-3566) yang dapat dimanfaatkan untuk mengekstrak informasi sensitif dari komunikasi terenkripsi. Pekan lalu, Google mengumumkan niatnya untuk sepenuhnya menonaktifkan SSL 3.0 dalam versi mendatang dari browser Web Chrome.
Referensi: SecurityWeek
0komentar:
Post a Comment