Roma - Combinare transazioni online tramite PayPal insieme a browser tra cui Explorer, Chrome e Safari potrebbe scatenare una reazione incontrollata, almeno stando alle
leggi della sicurezza informatica. È infatti
recente l'iniziativa fraudolenta di un cracker che ha diffuso un metodo che consente la generazione di un
certificato SSL fasullo, che sfrutta una vulnerabilità all'interno della libreria Microsoft utilizzata dai tre browser.
Il certificato viene interpretato da IE, Chrome e Safari come una garanzia per effettuare i servizi di pagamento nel sito, andando poi a far leva su un
buco nella CryptoAPI utilizzata da Windows per effettuare il parsing degli SSL. Il cracker in questione avrebbe utilizzato un
SSLSniff per evitare che i browser forniscano agli ignari utenti eventuali messaggi d'avviso, in barba al fatto che l'indirizzo relativo al certificato fraudolento riporti un anomalo
https.
"Uno
SSLSniff del genere ed è game over - ha spiegato l'hacker Moxie Marlinspike ad un convegno sulla sicurezza informatica tenutosi a Las Vegas - Tecnicamente, dovrebbe essere più corretto affermare che sono gli utenti Windows quelli maggiormente esposti, dato che la vulnerabilità non è stata ancora risolta da Microsoft". Nel frattempo, un portavoce di PayPal ha rassicurato gli animi, spiegando che il problema è a conoscenza degli esperti di sicurezza e che si stanno effettuando le dovute ricerche per appositi workaround.
Il bug era stato scoperto circa nove settimane prima, con la squadra di Mozilla Firefox ad intervenire per prima dopo la dimostrazione di Marlinspike. A seguire Firefox, Safari ha trovato la
patch qualche settimana dopo. È rimasta dunque Redmond, alle prese con la CryptoAPI che ha dato il via al brutto quarto d'ora di PayPal; all'appello manca anche Google Chrome.
Mauro Vecchio