Rájöttek, hogyan lehet kicselezni a böngészők védelmét

Juliano Rizzo és Thai Duong az argentin Ekoparty című biztonsági konferencián fogja bemutatni a BEAST nevű támadási módszert, ami a böngésző és szerver közt felépülő titkosított csatornából tud adatokat kicsalni. A módszer részleteit nem hozták ugyan nyilvánosságra a kutatók, az azonban a konferencia honlapján megjelenő tájékoztatóból kiderül, hogy nem a TLS protokollban (Transport Layer Security, átviteli réteg biztonság) használt titkosítással bántak el a kutatók. Állításuk szerint egy olyan hibát találtak, amely az összes böngésző TLS-t kezelő programrészletében jelen van, így nem kell feltörniük a kódolást.

A BEAST-támadás lehetővé teszi, hogy a böngésző által titkosított kapcsolaton kért és kapott azonosító információcsomagokat a saját gépén kibontsa. Ezek későbbi felhasználásával egyszerűen megszemélyesítheti a felhasználót a weboldal felé. A The Register című online informatikai hírportálban megjelent cikk szerint a támadás sikeréhez a hackernek rá kell vennie a felhasználót, hogy egy speciális JavaScript kódot futtasson, amely kommunikál egy, az áldozat netes forgalmát figyelő programmal. A Registernek bemutatott támadás a PayPal fizetési szolgáltatóra belépő felhasználót vette célba, és tíz perc alatt le is zajlott.

TLS protokollon beszél egymással a netbank és a böngésző

A TLS protokolt használják az internetes banki oldalak, az aukciós szolgáltatások, webboltok. A szerver és böngésző között kiépíthető titkosított csatorna tette lehetővé, hogy nyugodtan fizethessünk bankkártyával az interneten, vagy hogy anélkül írhassuk be a jelszavunkat egy közösségi oldalra, hogy tartani kéne a kommunikációt lehallgató hackerektől.

Adam Langley, a Google TLS szakértője szerint a támadás valóban parádés, azonban nincs ok az aggodalomra. A kutatók ismertették a BEAST működését a böngészőgyártókkal, így elkészülhetnek a javítások az előadás előtt, vagyis még azt megelőzően, hogy bárki vissza tudna élni a lehetőséggel.