Mauro Vecchio

PayPal, quel certificato Ŕ fasullo

Un falso SSL per ingannare il browser. Il problema in una libreria comune a Chrome, IE e Safari. Ma mentre l'ultimo ha giÓ messo una toppa, gli altri due latitano

Roma - Combinare transazioni online tramite PayPal insieme a browser tra cui Explorer, Chrome e Safari potrebbe scatenare una reazione incontrollata, almeno stando alle leggi della sicurezza informatica. ╚ infatti recente l'iniziativa fraudolenta di un cracker che ha diffuso un metodo che consente la generazione di un certificato SSL fasullo, che sfrutta una vulnerabilità all'interno della libreria Microsoft utilizzata dai tre browser.

Il certificato viene interpretato da IE, Chrome e Safari come una garanzia per effettuare i servizi di pagamento nel sito, andando poi a far leva su un buco nella CryptoAPI utilizzata da Windows per effettuare il parsing degli SSL. Il cracker in questione avrebbe utilizzato un SSLSniff per evitare che i browser forniscano agli ignari utenti eventuali messaggi d'avviso, in barba al fatto che l'indirizzo relativo al certificato fraudolento riporti un anomalo https.

"Uno SSLSniff del genere ed è game over - ha spiegato l'hacker Moxie Marlinspike ad un convegno sulla sicurezza informatica tenutosi a Las Vegas - Tecnicamente, dovrebbe essere più corretto affermare che sono gli utenti Windows quelli maggiormente esposti, dato che la vulnerabilità non è stata ancora risolta da Microsoft". Nel frattempo, un portavoce di PayPal ha rassicurato gli animi, spiegando che il problema è a conoscenza degli esperti di sicurezza e che si stanno effettuando le dovute ricerche per appositi workaround.
Il bug era stato scoperto circa nove settimane prima, con la squadra di Mozilla Firefox ad intervenire per prima dopo la dimostrazione di Marlinspike. A seguire Firefox, Safari ha trovato la patch qualche settimana dopo. ╚ rimasta dunque Redmond, alle prese con la CryptoAPI che ha dato il via al brutto quarto d'ora di PayPal; all'appello manca anche Google Chrome.

Mauro Vecchio
Notizie collegate
2 Commenti alla Notizia PayPal, quel certificato Ŕ fasullo
Ordina