Fani PayPala zagrożeni fałszywymi certyfikatami
Osoby korzystające z PayPala i przeglądarek Internet Explorer, Google Chrome oraz Apple Safari powinni uważać na fałszywy certyfikat szyfrujący, który uwiarygadnia transakcje zaaranżowane przez hakerów.
Osoby korzystające z PayPala i przeglądarek Internet Explorer, Google Chrome oraz Apple Safari powinni uważać na fałszywy certyfikat szyfrujący, który uwiarygadnia transakcje zaaranżowane przez hakerów.
Atak wykorzystuje lukę w bibliotece Microsoftu, na której opierają się wszystkie trzy wymienione wyżej programy. Błąd wykryto już dziewięć tygodni temu, Redmond nie zrobiło jednak na razie nic, aby go naprawić.
Przeglądarki ignorują ciągi, które następują po znakach i 0. Fałszywy certyfikat wygląda na przykład tak: www.paypal.com"""0"ssl.secureconnection.cc. Jest on zarejestrowany w zupełnie innej domenie.
Furtka znajduje się w module zwanym CryptoAPI. Jest on wykorzystywany do parsowania certyfikatów witryn. Hakerskie narzędzie SSLSniff pozwala z kolei na wyłączenie ostrzeżeń prezentowanych przez przeglądarki i wyświetlenie fałszywego komunikatu o zgodności.
PayPal już wie o zagrożeniu. Stara się opracować tymczasowe rozwiązanie, które zabezpieczy użytkowników przed atakiem do czasu wydania oficjalnej łatki przez Microsoft.
Certyfikaty SSL uchodzą za jeden z najpewniejszych sposobów na zabezpieczenie się przed fałszywymi transakcjami online. Nowy atak hakerski mocno podważa jednak zaufanie do tego mechanizmu.
Źródło: TheRegister
