DevSecOps

28 jul, 2016

Novo ataque deixa HTTPS vulnerável e afeta todos os sistemas operacionais

Publicidade

A empresa de segurança SafeBreach descobriu um novo ataque que atinge o HTTPS, o que significa que aquela garantia de segurança fornecida pelo protocolo pode ter sido comprometida.

Chamado de Unholy PAC, o ataque pode ser feito a partir de qualquer rede, incluindo conexões públicas, e consiste em utilizar a ferramenta conhecida como WPAD (Web Proxy Autodisovery) para expor solicitações do browser, tornando visível aos hackers qualquer endereço que a vítima visitar. A vulnerabilidade foi identificada em todos os navegadores de todos os sistemas operacionais.

De acordo com o site Canaltech, a manobra pode ser executada de duas formas: a primeira consiste em uma conexão proxy forçada via configuração automática de proxy (PAC) que faz com que as informações sejam compartilhadas antes que a conexão segura HTTPS seja estabelecida, e a segunda utiliza um malware que altera as configurações de rede do computador.

[awprm urls=https://imasters.com.br/noticia/google-vai-privilegiar-sites-com-https-nos-resultados-de-busca/,https://imasters.com.br/noticia/blogs-do-google-terao-navegacao-https-ativada-por-padrao/]

Muitas pessoas confiam que o HTTPS fornece proteção suficiente até quando a rede LAN ou Wi-Fi não é doméstica, como em pontos públicos, hotéis e aeroportos. “Nós podemos mostrar que essa ferramenta não oferece proteção quando se tem a WPAD habilitada, portanto muitas pessoas estão expostas a esse tipo de ataque quando acessam conexões não confiáveis”, explica o cofundador da empresa de segurança SafeBreach e responsável pela pesquisa Itzik Kotler, que fará uma demonstração pública do ataque na conferência de segurança da Black Hat em Las Vegas na próxima semana.

Apesar de apenas a URL ficar exposta, o risco é alto, já que informações pessoais são inseridas nos links em muitos sites. O ataque se torna potencialmente perigoso pelo caráter furtivo – como a barra de endereços ainda vai ficar verde com o HTTPS, o usuário mal pode imaginar que foi vítima de hackers.

Desenvolvedores de browsers deverão criar uma correção para essa falha em breve e poderão se inspirar no Edge e no Internet Explorer 11, da Microsoft, que utilizam a ferramenta FindProxyForUrl para utilizar apenas os nomes de hospedagem dos links em vez de endereços completos que possam ter números de autenticação e outras informações do usuário.