Криптографическая схема HTTPS, применяемая для защиты миллионов сайтов, подвержена новому виду атак, которая позволяет хакерам получать адреса электронной почты и банковские платежные реквизиты из зашифрованных страниц. В ряде случаев на реализацию атаки уходит всего 30 секунд.
Предполагается, что подробно о новейшей технике будет изложено на конференции Black Hat в Лас-Вегасе. Авторы данной методики сообщают, что атака дает возможность декодировать закрытые данные, которые системы онлайн-банкинга и платформы электронной коммерции передают в ответ клиентам по протоколам TLS и SSL. Согласно заявлению авторов методики, атака позволяет вскрывать такие типы данных как номера социального страхования, некоторые типы электронных ключей, электронные адреса, а также ссылки на сброс паролей.
Действует атака против всех версий TLS и SSL, в независимости от того, какой именно шифр или алгоритм используется.
Новый вид атаки требует, чтобы у атакующего был пассивный доступ к трафику между пользователем и сайтом. Помимо этого, атака требует, чтобы злоумышленник вынудил жертву нажать на вредоносную ссылку. Сделать это можно через iframe либо через скрытое изображение со ссылкой в тексте письма или страницы.
Авторы говорят, что они не дешифруют весь канал HTTP, а только вскрывают те данные, которые им необходимы. Один из экспертов методики заявил, что нужно найти лишь кусок данных, это может быть ключ, запрос на изменение пароля. В общем, вскрыть можно практически любой ответ через страницу или Ajax-код.
Горячие темы