Google phát hành “nogotofail” để phát hiện lỗi HTTPS

Diem Do

Sau hàng loạt các lỗ hổng bảo mật nghiêm trọng được phát hiện gần đây trong việc bảo vệ mã hóa HTTPS, các kỹ sư của Google vừa phát hành một ứng dụng cho phép các lập trình viên phát hiện lỗi và những trục trặc mà có thể để lại mật khẩu và mở ra các thông tin nhạy cảm khác để dò xét.

 

 

Công cụ mã nguồn mở có tên ‘nogotofail’, liên quan đến lỗ hổng được gọi là “goto fail”, làm cho các kẻ xâm nhập dễ dàng bí mật phá vỡ các kết nối bảo vệ HTTPS của các thiết bị Apple iOS và OS X. Kể từ phát hiện lỗi của nó vào tháng 2 vừa qua, các thực thi đa dạng của các giao thức tầng ổ bảo mật(SSL) và bảo mật tầng truyền tải (TLS) nền tảng chịu nhiều tổn thát từ các lỗ hỏng bảo mật phá hủy khác, gồm một lỗ hổng trong thư viện GnuTLS, lỗi Heartbleed nghiêm trọng trong OpenSSL và nhiều phá hiện lỗi gần đây trong phiên bản 3 của SSL.

 

“Nhóm bảo mật Android xây dựng một công cụ được gọi là nogotofail, mang đến một phương pháp dễ dàng để xác định rằng các thiết bị hay ứng dụng mà bạn sử dụng được đảm bảo an toàn chống lại các lỗ hổng bảo mật TLS/SSL và các lỗi cấu hình “, các kỹ sư Google đã viết trên một bài đăng tải trên blog được công bố vào dáng thứ 3 vừa qua. “Nogotofail làm việc trên hệ điều hành Android, iOS, Linux, Windows, Chrome OS, OSX, và bất kỳ thiết bị nào mà bạn sử dụng để kết nối với Internet. Có một client dễ sử dụng để cấu hình việc thiết lập và nhận các thông báo trên thiết bị Android và Linux, cũng như các công cụ tấn công chính nó có thể được triển khai như một router, VPN server hay proxy.”

 

SSL và TLS được sử dụng các giao thức rộng rãi cho các trang web mã hóa , email và nhiều loại khác trên mạng lưới Internet, vì thế nó không thể được đọc hay sửa đổi bởi bất cứ ai giám sát các kết nối giữa hai bên. Hàng loạt các lỗi phát hiện gần đây chỉ để nhấn mạnh vấn đề bảo vệ còn yếu ớt là như thế nào.

Chia sẻ bài viết ngay

Nguồn bài viết : arstechnica.com