Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties

Mobiele apparaten als smartphones en tablets blijven voorlopig kwetsbaar voor valse certificaten van de DigiNotar-hacker. Android-toestellen, iPhones en BlackBerry's vertrouwen nog altijd op certificaten van het Nederlandse bedrijf.

Daardoor blijven gebruikers van sommige mobiele apparaten kwetsbaar voor aanvallen met valse DigiNotar-certificaten, terwijl gebruikers van Windows, Mac OS X en diverse desktopbrowsers wel beschermd zijn voor valse certificaten.

Met behulp van de valse certificaten kan een site zich voordoen als een vertrouwde site, zoals *.google.com. Omdat het certificaat wordt vertrouwd, hebben de mobiele browsers niet door dat het om een gehackte site gaat. Daardoor kunnen persoonsgegevens van gebruikers worden onderschept en internetverkeer worden afgetapt. De valse DigiNotar-certificaten werden vooral gebruikt in Iran.

Update 23.59 De standaardbrowser van Windows Phone 7 geeft een waarschuwing bij een DigiNotar-certificaat dat de site niet mag worden vertrouwd en dat, als de gebruiker doorgaat, hij of zij beter geen privacygevoelige gegevens kan invullen. De standaardbrowser in Android 2.3 zegt alleen dat er een probleem is met het certificaat, maar zegt niet dat deze niet wordt vertrouwd. Bovendien staat de Doorgaan-knop daarbij prominenter in beeld dan de optie om niet door te gaan naar de site.

Moderatie-faq Wijzig weergave

Reacties (43)

Als je telefoon geroot is kan je het diginotar certificaat zelf deleten. Hier is een tooltje voor gemaakt. En is hier te vinden: https://market.android.co...fo.guardianproject.cacert

[Reactie gewijzigd door RedNas74 op 11 september 2011 10:35]

goed idee, thanks voor de link! :) Mijn phone is nu iig veilig voor diginotar hackers.


Desalniettemin denk ik dat je in NL redelijk veilig bent voor hacks. Als je een betrouwbare DNS hebt, zal je altijd bij de digid site uitkomen. Dan moet die iranier nog wat extra trucs uithalen voordat ie daar tussen kan gaan zitten. maw, zo'n man-in-the-middel heeft wat meer voeten in de aarde dan alleen een gehacked certificaat.
Leuk maar ik vind nergens een certificaat voor Staat der Nederlanden uitgegeven door Diginotar. En de "Staat der Nederlanden Root CA" die ik wel vind vermeldt die info ook niet.
je moet ook het diginotar root certificaat verwijderen. Dat is namelijk het gecompromiteerde certificaat. Het certificaat van de Staat der Nederlanden is gewoon veilig (dat is ook niet van Diginotar).
Ondanks dat Maemo al een tijdje EOL is verklaard door Nokia, hebben ze wel geholpen om via de Community Firmware (Community SSU) een update uit te brengen.
Hiermee is de N900 niet meer kwetsbaar. Aanrader voor de N900 gebruikers onder ons!
Bron: talk.maemo.org/showpost.php?p=1085259&postcount=4755
Had iedereen inderdaad maar een Nokia n900 smartphone met Maemo linux: dan had je sinds 2 september al Firefox 6.0.2 kunnen installeren die Diginotar blokkeert:
http://moff.mozilla.com/m...el/fennec_6.0.2_armel.deb

En sinds 8 september Firefox 7.0 beta 5
En voor degenen < Android 2.2: instructies voor het handmatig installeren van een bijgewerkte CACert file (root benodigd).

[Reactie gewijzigd door M66B op 11 september 2011 10:45]

Cyanogenmod heeft inmiddels al wel een patch gehad. De bekendste 'mod'-versies (een heleboel custom roms zijn hierop gebaseerd) hebben op 5 september al de patch gehad:
http://review.cyanogenmod.com/#change,7776
http://code.google.com/p/cyanogenmod/issues/detail?id=4260

Google zelf is dus langzamer dan de community!
Nu begrijp ik er niets meer van... Mijn Galaxy S II, stock ROM, waarschuwt al enige dagen voor verkeerde certificaten. Als ik met de Android browser, Dolphin HD of Firefox naar https://secure.valkenswaard.nl/ surf krijg ik wel degelijk een duidelijke waarschuwing! Ik heb hier niets voor hoeven doen.

Is er wel gecheckt wat er gebeurt op verschillende smartphones?
Je hebt bekijk, ook op mijn sensation met stock rom krijg ik die waarschuwing. PKI-overheid, uitgegeven door diginotar. Met als reden dat de uitgever niet wordt vertrouwd, precies zoals het zou moeten dus.
Voor de paar WebOS gebruikers alhier: op http://www.palmclub.nl/ni...n-verwijderen-nieuws.html is te lezen over een homebrew tool die je in staat stelt certs te verwijderen. Zo gepiept met Preware.
Klopt, helaas niet automatisch, maar goed het kan verholpen worden.
Inderdaad - WebOS
Voor de niet WebOS gebruikers: Preware is vergelijkbaar met Cydia op iOS of algemeen een repository op Linux,
Procedure is zo simpel als: kijk bij laatste nieuwe patches en selecteer de betreffende patch van WebOSInternals , install , herstart.
Dit klopt natuurlijk niet helemaal. Google kan via de Android market wel degelijk fixes uitrollen.
Dat is in maart toen ook gebeurt.

En weet iemand hoe dat met programmas als Opera/FF mobile zit? Zijn die ook kwetsbaar?
Opera mobile op een Symbian/Nokia toestel is afhankelijk van symbian/nokia update. Voor Opera mobile op andere platformen zal deze week een update uitkomen. Voorwaarde is wel dat je minimaal versie 11.10 gebruikt.

bron
Welke fix hebben ze toen uitgebracht? Tuurlijk kan google de android source code aanpassen met een fix en deze vervolgens aan hun eigen nexus telefoons uitrollen. Maar zolang andere fabrikanten niet hun software verbeteren met de laatste AOSP code gebeurt er natuurlijk niks. In tegenstelling tot bijvoorbeeld de android market die kan google wel laten updaten op elke telefoon.
Firefox mobile zit, net als de desktop versie, op 6.02. En houdt verkeerde certificaten tegen.
Opera heeft geen update nodig, die controleert gewoon de CRL.
Aangezien Android zo open is zou iedereen toch ebben snel een fix kunnen maken, of mis ik iets?
De tweaker wel maar het moet natuurlijk een zo volledig mogelijke uitrol zijn om de beste veiligheid voor iedereen te garanderen.
De browser is niet het zelfde op elke android telefoon. De intergratie met het framework is vaak verschillend. En daarnaast zijn er veel fabrikanten die de browser aanpassen en je zo dus een custom browser krijgt.
Kan je dan als Android-persoon niet zelf die update binnen halen uit de Market oid?
Lijkt me toch niet zo moeilijk....
Zit denk ik in de browser, en die gaat (nog) niet via de market. Hoewel firefox android dat wel doet, moet die update ook nog komen.

Toch wel jammer dat ze niet zoals firefox een request sturen naar apple / google / microsoft / rim/ mozilla met de vraag of het certificaat nog geldig is. Als je toch een site op kan halen, waarom niet een true / false voor je ssl? Zou meteen een up-to-date lijst zijn die makkelijk te beheren is door een vertrouwde partij. Dit kan natuurlijk voor alle devices.

[Reactie gewijzigd door Euwas op 11 september 2011 10:27]

Als de SSL systemen onbetrouwbaar zijn dan wil je dus niet je SSL confirmatie ophalen bij een site op het Internet. Wat nu als juist die sites gespoofed zijn met valse certificaten? Dan heeft de hacker in ÚÚn klap het volledige SSL systeem in handen en kan hij alles spoofen wat hij maar wil....

Nee, die controle wil je juist lokaal houden, je lokale bron vertrouw je altijd.
Als Firefox bij Mozilla een blacklist zou ophalen met onvertrouwde certificaten dan zie ik het probleem niet? Dan kan je hooguit als je mozilla gehackt hebt een veilige website onveilig laten lijken.

En als je mozilla kunt hacken kan je natuurlijk net zo goed jouw eigen computer als CA toevoegen in de FF installer :)

[Reactie gewijzigd door jbtbnl op 11 september 2011 11:27]

Dat is ook nog het probleem uiteindelijk. Waar zit Mozilla? Om dat te bepalen heb je het DNS nodig: Domain Name System, dat is een vertaling tussen een domeinnaam "mozilla.org" naar hun IP-adressen. Dat systeem is helemaal gedistribueerd, dus in het geval van Iran (of mogelijk zelfs hier), kan je als provider gewoon die DNS-records overriden naar een eigen server.

DNS heeft op zich geen enkele vorm van authenticatie of veiligheid ingebouwd. Als je een corrupte server raadpleegt, ben je gezien voor de moeite en dat zal in Iran ook het geval zijn.

Het probleem is dus zelfs niet om Mozilla te hacken, maar om de DNS-servers waar je doelgroep gebruik van maakt, te beheren en dat is heel wat minder moeilijk voor een overheid. Ik kan me voorstellen dat heel wat DNS-servers ook onder het beheer staan van de overheid of toch op zijn minst een centraal landgebonden organisme waarop de overheid enige druk kan uitoefenen.

Er is wel verbetering op komst met bv. DNSSEC. Heel erg kort door de bocht is DNSSEC een DNS-dienst met bijkomende certificaten die van elk record aangeven dat dat record geldig is, zodat om het even welke partij die records niet kan aanpassen zonder dat de gebruiker dat kan zien. Zodat je weet dat als je "mozilla.org" opvraagt, dat je ook die site gaat terugkrijgen en niet een Iraanse clone daarvan (o.id.) . Maar je zit natuurlijk met hetzelfde probleem van Trust Anchors (lees: Certificate Authorities) die je moet kunnen vertrouwen en dat is ook net in deze hele DigiNotar-zaak misliep: een CA die bewezen heeft onbetrouwbaar te zijn. Je moet dus overal die Trust Anchors uithalen en dat kost spijtiggenoeg tijd.

Met DNSSEC zou je gelukkig wel iets meer vertrouwen moeten kunnen hebben in dat alles omdat het veel gecentraliseerder is. De hoogste niveau's (voornamelijk TLDs, vermoed ik) moeten bij IANA aankloppen voor hun certificaat. In mijn ogen doet IANA dat hele gebeuren zoals het zou moeten: ze publiceren zo veel mogelijk over hun acties (het is iets anders of ze die acties ook werkelijk uitvoeren, maar het is toch al beter dan het gesloten karakter van DigiNotar in deze hele zaak). Ik ken de interne werking niet volledig, maar volgens mij zal het wel voorzien zijn dat een .be-verantwoordelijke geen .com-domein werkzaam kan ondertekenen. Een bepaalde overheid zal dus veel moeilijker (bv. in het geval van Iran) erin slagen om compleet andere domeinen te valideren.
dat is heel leuk, maar ik mag toch aannemen dat een browser niet linkt naar mozilla.org om een bestandje op te halen, maar gewoon rechtstreeks naar het IP adres van de server met de SSL blacklists.
Wat Croga stelt is dat je DENKT een in jouw voorbeeld goede blacklist down te loaden maar dat dat nu juist niet het geval is omdat je tegen een nep site aan zit te kijken die met een vervalst certificaat zich voordoet als een oorspronkelijke site.

Wat ik weer niet snap, maar dat is vast mijn beperkte kennis, waarom er geen instructies uitgaan op de Diginotar certificaten aan de Certificate Revocation List toe te voegen. Ja je moet het even met het handje doen maar met 3 screenshots of zo is het uitgelegd. Ook voor mobiele versies van browsers lijkt me.

Iemand enig idee?

PS De firefox help pagina op dit gebied is nog niet gevuld.
Wat ik niet begrijp is waarom de root-CA lijst ook niet bijgewerkt word zoals bij een revoked-certificate list? Waarom moeten root-CA's zo diep geintegreerd zitten?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True