Уязвимости HTTPS могут позволить злоумышленникам отследить ваши данные Исследователи

Исследователи безопасности обнаружили уязвимости HTTPS среди 10 000 лучших веб-сайтов в Интернете.

Особенности

  • Исследователи безопасности обнаружили недостатки HTTPS в некоторых из лучших веб-сайтов
  • Большинство из этих недостатков все еще остаются незамеченными
  • Некоторые недостатки незначительны, в то время как другие позволяют злоумышленникам манипулировать данными

Тот маленький зеленый замок, который появляется в адресной строке вашего браузера, выглядит обнадеживающе. Это означает, что веб-сайт, который вы посещаете в настоящее время, использует HTTPS (Hypertext Transfer Protocol Secure) для безопасного соединения. HTTPS защищает вас от атак «человек посередине», что гарантирует, что никто не увидит ваши пароли, историю поиска и другой конфиденциальный контент. Почти все популярные веб-сайты теперь используют HTTPS для шифрования данных между вашим веб-браузером и веб-серверами, с которыми он общается.

Тем не менее, новое исследование утверждает, что некоторые веб-сайты, использующие HTTPS, все еще оставляют свои связи открытыми. Исследователи из Университета Ca ‘Foscari в Венеции в Италии и Tu Wien в Австрии проанализировали 10 000 лучших веб-сайтов, использующих HTTPS, и обнаружили, что почти 5,5% из них уязвимы для эксплойтов TLS (Transport Layer Security).

Читайте так же
Google Project Zero Исследователи раскрывают 5 «Ну... Один из недостатков может позволить злоумышленнику прочитать содержимое файлов на iPhone. Уязвимость CVE-2019-8641 пока не исправлена CVE-2019-8660 - недостаток повреждения памяти Два из раскрытых недостатков могут привести к сбою графического...
Уязвимость в Google Фото могла позволить хакерам п... Утечки в боковых каналах браузера становятся следующей большой угрозой для операций преследования по целям. Каталин Чимпану за нулевой день | 20 марта 2019. 13:00 GMT (06:00 PDT) | Тема: Безопасность Google исправил ошибку в своем сервисе «Фото», ...

Протокол связи в HTTPS шифруется с использованием безопасности транспортного уровня (TLS), ранее известного как уровень защищенных сокетов (SSL). Исследователи утверждают, что обнаруженные ими недостатки являются результатом проблем, возникающих в зависимости от того, как веб-сайты реализуют схемы шифрования TLS. Эти веб-сайты, возможно, также не смогли исправить известные ошибки в TLS и SSL.

Но когда вы посещаете такой веб-сайт, блестящий зеленый замок все равно будет отображаться в адресной строке вашего браузера. Вот насколько тонкими могут быть эти недостатки, их трудно обнаружить. Эти недостатки обычно остаются незамеченными, утверждают исследователи безопасности, которые их обнаружили.

Недостатки были обнаружены с помощью методов анализа TLS для сканирования и анализа 10 000 лучших сайтов на наличие проблем TLS. Исследователи отобрали эти сайты из рейтинга топ-сайтов Alexa в Интернете.

Эти уязвимости могут потенциально позволить злоумышленнику расшифровать небольшую информацию, такую ​​как сеансовые куки, но не очень полезны для извлечения чего-то столь же чувствительного, как пароль.

Читайте так же
Уязвимость в Google Фото могла позволить хакерам п... Утечки в боковых каналах браузера становятся следующей большой угрозой для операций преследования по целям. Каталин Чимпану за нулевой день | 20 марта 2019. 13:00 GMT (06:00 PDT) | Тема: Безопасность Google исправил ошибку в своем сервисе «Фото», ...
Google Project Zero Исследователи раскрывают 5 «Ну... Один из недостатков может позволить злоумышленнику прочитать содержимое файлов на iPhone. Уязвимость CVE-2019-8641 пока не исправлена CVE-2019-8660 - недостаток повреждения памяти Два из раскрытых недостатков могут привести к сбою графического...

Однако, согласно исследовательской работе, существуют и другие «утечки», которые могут позволить злоумышленникам расшифровать практически весь веб-трафик, проходящий между браузером и веб-сервером.

Кроме того, существуют «испорченные» уязвимости, которые потенциально могут позволить злоумышленникам расшифровать и манипулировать данными, передаваемыми между браузером и веб-сервером. Эти атаки «человек посередине» как раз и являются причиной, по которой HTTPS был введен в действие.

Исследователи утверждают, что все 10 000 лучших веб-сайтов, которые были протестированы, также включают около 91 000 связанных доменов. Уязвимости HTTPS на этих сайтах могут увеличить общее количество уязвимых сайтов.

Уязвимости обнаружили, что 898 веб-сайтов из 10 000 веб-сайтов, которые они тестировали, были полностью скомпрометированы, в то время как 977 веб-сайтов представляли страницы с низкой степенью целостности. Полный текст исследования будет представлен на 40-м симпозиуме IEEE по безопасности и конфиденциальности в Сан-Франциско в мае этого года.

Читайте так же
Google Project Zero Исследователи раскрывают 5 «Ну... Один из недостатков может позволить злоумышленнику прочитать содержимое файлов на iPhone. Уязвимость CVE-2019-8641 пока не исправлена CVE-2019-8660 - недостаток повреждения памяти Два из раскрытых недостатков могут привести к сбою графического...
Уязвимость в Google Фото могла позволить хакерам п... Утечки в боковых каналах браузера становятся следующей большой угрозой для операций преследования по целям. Каталин Чимпану за нулевой день | 20 марта 2019. 13:00 GMT (06:00 PDT) | Тема: Безопасность Google исправил ошибку в своем сервисе «Фото», ...