Twee beveiligingsonderzoekers beweren dat ze een nieuwe aanval op het https-protocol hebben ontwikkeld. Met de hack zouden kwaadwillenden beveiligde internetsessies kunnen overnemen, zoals bij de sites van banken en webwinkels.
Beveiligingsonderzoekers Juliano Rizzo en Thai Duong beweren dat ze een nieuwe aanval op het https-protocol hebben ontwikkeld, waarbij de sessiecookies van de gebruiker kunnen worden ontsleuteld. Deze cookies worden gebruikt bij de authenticatie van gebruikers op beveiligde websites, zoals die van banken en webshops. Kwaadwillenden zouden zich met deze aanval toegang kunnen verschaffen tot sessies van andere gebruikers. De https-cookies zijn juist ontworpen om dit soort aanvallen tegen te gaan.
De methode gebruikt een zwakte in een specifieke functie van het tls- en het ssl-protocol, die onderdeel van het https-protocol zijn. Volgens de onderzoekers zijn alle versies van ssl en tls kwetsbaar, al wilden ze nog niet bekendmaken welk onderdeel precies zwak is. De onderzoekers hebben de nieuwe aanvalsmethode de naam crime gegeven en zullen de methode later deze maand demonstreren op de Ekoparty-beveiligingsconferentie in Buenos Aires.
Voor de aanval is het wel nodig dat de gebruiker de bewuste code uitvoert. De aanvaller kan de gebruiker hiertoe een besmette website voorschotelen of in het netwerk van de gebruiker inbreken. Volgens de onderzoekers is voor de aanval geen browser-plug-in vereist, al zou het gebruik van javascript de aanval wel versnellen. Wel moet de aanvaller toegang hebben tot het https-verkeer van het slachtoffer, iets wat mogelijk is op open wifi-verbindingen of door toegang tot het bedrade netwerk te hebben. Ook moeten zowel de server als de browser de kwetsbare functie van het tls- of ssl-protocol ondersteunen.
De onderzoekers hebben de aanval bij zowel Firefox als Chrome met succes getest. Ook andere internetbrowsers kunnen kwetsbaar zijn. Mozilla en Google zouden al beveiligingsupdates tegen de aanval hebben, maar de bedrijven hebben deze nog niet verspreid.
Vorig jaar toonden dezelfde onderzoekers al een andere aanval tegen het https-protocol, met de naam beast. Die aanval werkte op ssl-versie 3.0 en tls-versie 1.0. Updaten naar tls-versie 1.1 of 1.2 zou voldoende zijn om die aanval af te slaan. De nieuwe aanval zou echter ook op deze versies werken.