آسیب‌پذیری‌های تازه پروتکل HTTPS ممکن است اطلاعات کاربران را فاش کند

محققان دانشگاه  Università Ca’ Foscari Veneziaایتالیا و دانشگاه Tu Wien در اتریش دریافتند که بیش از ۱۰،۰۰۰ وب‌سایت سطح بالایی که از پروتکل HTTPS استفاده می‌کنند، به دلیل وجود آسیب‌پذیری‌های رمزنگاری، در معرض خطر قرار دارند.

پروتکل امن انتقال ابرمتن (HTTPS) چند سال پیش جایگزین HTTP شد و در حال حاضر توسط بسیاری از برترین وب‌سایت‌ها مورد استفاده قرار می‌گیرد، اما هنوز ایمنی لازم را ندارد. HTTPS باید کاربران را در برابر حملات مرد میانی ایمن کند و مانع از دسترسی هکر‌ها به گذر‌واژه‌ها، تاریخچه و سایر اطلاعات کاربر شود.

تحقیقات جدید نشان می دهد که برخی از وب‌سایت‌هایی که از HTTPS برای محافظت از اتصال بین کاربران و سرورهای وب استفاده می کنند هنوز اطلاعات کاربر را در دسترس هکرها قرار می دهند. در این رابطه، حدود ۵.۵% از ۱۰،۰۰۰ وب‌سایت‌هایی که از طریق لایه انتقال یا TLS برای رمزگذاری ارتباطات استفاده می‌کردند مورد تجزیه و تحلیل قرار گرفتند، که در نهایت مشخص شد که همه آن‌ها در معرض این آسیب‌پذیری قرار دارند.

مهاجمان می‌توانند از این آسیب‌پذیری ها برای دزدیدن اطلاعات از کوکی‌ها استفاده کنند. یک مهاجم می‌تواند تقریباً به هر اطلاعاتی که بین مرورگر و سرور مبادله می شود دسترسی داشته باشد. این آسیب‌پذیری‌ها همچنین ممکن است بر این وب‌سایت‌ها اثر بگذارند. از ۱۰،۰۰۰ وب‌سایت، ۸۹۸ مورد کاملاً آسیب‌پذیر بودند و کل داده‌ها به خطر افتاده بودند. یکپارچگی ۹۷۷ وب‌سایت دیگر بسیار پایین است که خود مشکلی بزرگ به حساب می‌آید.

هنگامی که کاربران از این وب‌سایت بازدید می‌کنند، قفل سبز رنگ مربوط به HTTPS همچنان در نوار آدرس ظاهر خواهد شد. شناسایی خطای موجود در TLS دشوار است، با این حال این آسیب‌پذیری وجود دارد و ممکن است مورد بهره‌برداری قرار بگیرند. محققان از تکنولوژی تحلیل TLS برای تجزیه و تحلیل ۱۰،۰۰۰ وب‌سایت برتر استفاده کردند. آن‌ها با بهره‌گیری از جدول رده بندی الکسا توانستند این وب‌سایت‌ها را شناسایی کنند. این مقاله در چهلمین همایش امنیت و حریم خصوصی IEEE که در ماه می در سانفرانسیسکو برگزار می‌شود، ارائه خواهد شد.