آسیبپذیریهای تازه پروتکل HTTPS ممکن است اطلاعات کاربران را فاش کند
محققان دانشگاه Università Ca’ Foscari Veneziaایتالیا و دانشگاه Tu Wien در اتریش دریافتند که بیش از 10،000 وبسایت سطح بالایی که از پروتکل HTTPS استفاده میکنند، به دلیل وجود آسیبپذیریهای رمزنگاری، در معرض خطر قرار دارند.
پروتکل امن انتقال ابرمتن (HTTPS) چند سال پیش جایگزین HTTP شد و در حال حاضر توسط بسیاری از برترین وبسایتها مورد استفاده قرار میگیرد، اما هنوز ایمنی لازم را ندارد. HTTPS باید کاربران را در برابر حملات مرد میانی ایمن کند و مانع از دسترسی هکرها به گذرواژهها، تاریخچه و سایر اطلاعات کاربر شود.
تحقیقات جدید نشان می دهد که برخی از وبسایتهایی که از HTTPS برای محافظت از اتصال بین کاربران و سرورهای وب استفاده می کنند هنوز اطلاعات کاربر را در دسترس هکرها قرار می دهند. در این رابطه، حدود 5.5% از 10،000 وبسایتهایی که از طریق لایه انتقال یا TLS برای رمزگذاری ارتباطات استفاده میکردند مورد تجزیه و تحلیل قرار گرفتند، که در نهایت مشخص شد که همه آنها در معرض این آسیبپذیری قرار دارند.
مهاجمان میتوانند از این آسیبپذیری ها برای دزدیدن اطلاعات از کوکیها استفاده کنند. یک مهاجم میتواند تقریباً به هر اطلاعاتی که بین مرورگر و سرور مبادله می شود دسترسی داشته باشد. این آسیبپذیریها همچنین ممکن است بر این وبسایتها اثر بگذارند. از 10،000 وبسایت، 898 مورد کاملاً آسیبپذیر بودند و کل دادهها به خطر افتاده بودند. یکپارچگی 977 وبسایت دیگر بسیار پایین است که خود مشکلی بزرگ به حساب میآید.
هنگامی که کاربران از این وبسایت بازدید میکنند، قفل سبز رنگ مربوط به HTTPS همچنان در نوار آدرس ظاهر خواهد شد. شناسایی خطای موجود در TLS دشوار است، با این حال این آسیبپذیری وجود دارد و ممکن است مورد بهرهبرداری قرار بگیرند. محققان از تکنولوژی تحلیل TLS برای تجزیه و تحلیل 10،000 وبسایت برتر استفاده کردند. آنها با بهرهگیری از جدول رده بندی الکسا توانستند این وبسایتها را شناسایی کنند. این مقاله در چهلمین همایش امنیت و حریم خصوصی IEEE که در ماه می در سانفرانسیسکو برگزار میشود، ارائه خواهد شد.
