Nem elég biztonságosak a böngészők

Vágólapra másolva!
A Black Hat nevű hackerkonferencián biztonsági szakértők új módját mutatták be annak, miként lehet akár titkosított kapcsolatot használó internetezők adataihoz hozzáférni. A módszer miatt internetbankot vagy online áruházakat használók kerülhetnek veszélybe.
Vágólapra másolva!

A hibát az az eljárás teszi lehetővé, amelyet a webböngésző szoftverek használnak a többek közt online áruházak által is használt SSL nevű, széles körben elterjedt titkosítási technológia kezelésére - számolt be két biztonsági szakértő, Robert Hansen és Josh Sokol.

Adatmorzsákat hagynak hátra a böngészők

A titkosítás a felhasználó PC-je és a weboldal szervere közti kommunikációt az SSL segítségével teszik biztonságossá, ezen keresztül ugyanis titkosítva továbbítódnak az adatok, mintha csak egy virtuális alagútban kölekednének. A biztonsági kutatók nem magát az SSL-t törték fel, hanem egy olyan módszert dolgoztak ki, amely a browserek által hátrahagyott, titkosítatlan információtöredékek felhasználásával teszi lehetővé a bizalmas adatok ellopását - írja az AP hírügynökség.

A szakértők szerint gyakorlatilag mindegyik széles körben használt böngésző hagy hátra olyan adatokat, amelyeket támadáshoz lehet felhasználni. Ugyanakkor azon is sok múlik, hogy az adott browsert hogyan konfigurálták be: bizonyos esetekben csupán kevéssé veszélyes információkat lehet a módszerrel ellopni, máskor azonban még felhasználói neveket és jelszavakat is találhatnak a böngésző által tárolt süti (cookie) fájlokban.

A wifi is veszélyes

Emellett a két szakember arra is felhívta a figyelmet, hogy a felhasználóknak óvatosnak kell lenniük a nyilvános wifihálózatok használatakor is, ezeken ugyanis előfordulhat, hogy egy hacker monitorozza az adatforgalmat. Ugyancsak a Black Haten ismertettek egy másik, újonnan felfedezett támadási lehetőséget, amely valószínűleg az otthonokban használt routerek millióit érintheti.

Craig Heffner mintegy harminc különböző típusú útválasztó eszközt vizsgált meg, és legtöbbjük esetében anélkül tudott belépni azok konfigurációs menüjébe, hogy ismerte volna az erre szolgáló jelszót. Az ilyen eszközök biztonsági beállításaihoz elvileg csak a tulajdonos férhet hozzá, online bűnözők azonban arra is használhatják, hogy csaló oldalakra irányítsák a felhasználókat.