Os benefícios ea importância da Plataforma como Serviço Privado
Certificados SSL falsificados em estado selvagem para o Facebook, o Google ea loja iTunes da Apple criar um grave risco de fraude para as pessoas que banco on-line usando seus smartphones.
Outfit Análise Netcraft disse que encontrou "dezenas" de certificados falsos SSL personificando bancos, sites de comércio eletrônico, provedores de Internet e redes sociais. As credenciais falsificadas criar um meio fácil para os atacantes para executar ataques man-in-the-middle contra os clientes de empresas afetadas .
"Os ataques bem sucedidos permitiria que os criminosos para descriptografar o tráfego legítimo banco on-line antes de voltar criptografando-lo e encaminhá-lo para o banco", escreve Paul Mutton, um pesquisador de segurança da Netcraft. "Isso deixaria as duas partes sem saber que o atacante pode ter capturado as credenciais de autenticação do cliente, ou manipulado a quantidade ou o destinatário de uma transferência de dinheiro."
Os certificados não são assinados pelas autoridades de certificação confiáveis, de modo que ninguém será considerado válido pelos navegadores web populares. Mas isso não significa que as credenciais falsas pode ser descartada como não representando qualquer ameaça, a empresa de testes de segurança e serviços web adverte.
"Uma quantidade crescente de tráfego de banco on-line agora se origina de aplicativos e outros softwares não-navegador que pode deixar de verificar adequadamente a validade de certificados SSL," Mutton acrescenta.
Post no blog da Netcraft resumiu pesquisas anteriores por pesquisadores de terceiros que destaca o potencial de dano de certificados falsos, mesmo em casos em que não são assinados por uma autoridade certificadora.
Pesquisadores da Universidade de Stanford e da Universidade do Texas, em Austin encontrou validação do certificado SSL quebrado na biblioteca EC2 Java da Amazon, SDKs comerciante do PayPal Amazônia e, carrinhos de compras integradas, como osCommerce e ZenCart e código AdMob usado por sites para celular (pesquisa PDF aqui ). A falta de verificações de certificados dentro da plataforma de jogos Vapor populares também permitiu pagamentos PayPal consumidor a ser undetectably interceptado por pelo menos 3 meses antes de, eventualmente, ser fixado.Aplicativos bancários on-line para dispositivos móveis são tentadores alvos para ataques man-in-the-middle, como validação de certificado SSL está longe de ser trivial, e aplicações móveis muitas vezes ficam aquém do padrão de validação realizada por navegadores web. 40% dos aplicativos bancários baseados em iOS testados por IO atividade são vulneráveis a tais ataques porque eles não conseguem validar a autenticidade de certificados SSL apresentados pelo servidor.
41% dos aplicativos Android selecionados foram encontrados para ser vulnerável em testes manuais por Leibniz Universidade de Hannover e Philipps Universidade de Marburg, na Alemanha (investigação PDF aqui ). Ambos os aplicativos e navegadores também podem ser vulneráveis se um usuário pode ser enganado e instalar certificados de raiz através de desonestos engenharia social ou de ataques de malware, embora este tipo de ataque está longe de ser trivial em um iPhone.
Exemplos de certificados falsos citados por Netcraft incluir um certificado desonesto emitido em nome do segundo maior banco da Rússia e um certificado que se faz passar por servidor de correio POP do GoDaddy. A Apple iTunes store, um alvo de phishing popular, também é homenageado com um "doppelgänger" desonesto certificado.
Mesmo armado com certificados falsos, um hacker ainda precisaria para espionar o tráfego de rede que flui entre o dispositivo móvel da vítima e os servidores que se comunica. Criação de um ponto de acesso sem fio rogue é uma das maneiras mais fáceis para um indivíduo de realizar tais ataques. ®
Nenhum comentário:
Postar um comentário