Pagine

Visualizzazioni totali

venerdì 9 ottobre 2009

PayPal, un certificato SSL fasullo mette in crisi Safari, Internet Explorer e Chrome



Sono stati segnalati alcuni problemi di sicurezza legati a PayPal. Un certificato SSL fasullo sarebbe in grado di “ingannare” il browser sulla bontà della transazione, facendo pervenire al programma, quindi anche all’utente, l’idea che la navigazione si stia svolgendo secondo i canonici protocolli sicuri. Sembra essere questo il risultato cui è arrivato un cracker che è riuscito a sfruttare una vulnerabilità propria di una libreria comune a Safari, Internet Explorer e Chrome.
Il sistema usato per fuorviare i sistemi di sicurezza integrati nei browser è quello di creare, come detto prima, un certificato SSL falso, in modo da inibire la funzione che blocca in automatico l’accesso a qualsiasi sito fraudolento e riuscendo in tal modo a far credere al browser che ci sono tutte le garanzie per poter effettuare la transazione. Ad essere “usato” per questo scopo è un bug sulla CryptoAPI di Windows normalmente utilizzata per effettuare il parsing dei certificati SSL. Da quella è stato poi relativamente semplice sfruttare un SSLSniff che causa i comportamenti errati dei browser con gli effetti sopra descritti. Immediate sono arrivate le rassicurazioni di PayPal che affermano come gli esperti stiano cercando una soluzione al problema, mentre sul lato browser a parte Mozilla, che è stata la prima ad intervenire, solo Apple sembra essere riuscita a correggere la falla, mentre ancora non sono pervenute le soluzioni né da parte di Microsoft né da Google, che quindi lasciano per ora i propri browser vulnerabili.
Fonte: Oneitsecurity.it - Autore: Giuseppe Cutrone