Обнаружен способ обхода защиты HTTPS

Исследователи обнаружили способ преодоления защиты HTTPS–соединения, который потенциально может быть использован для организации атак.

Одним из главных достоинств HTTPS–соединения является то, что третьим сторонам, пытающимся отслеживать активность пользователя, недоступны URL–адреса посещаемых им веб–страниц. Однако использование особенностей технологии автоматической настройки прокси (WPAD) позволяет это сделать.

Наиболее вероятным сценарием атаки является создание для нее специальных открытых wi–fi сетей. Даже зная о небезопасности подключения к публичным wi–fi сетям, пользователи полагают, что HTTPS–соединение обеспечивает надежную защиту. Но это не так. При подключении пользователя к подобной сети ее оператор в состоянии направлять в ответ на запрос браузера вредоносный файл автоматической конфигурации (PAC). Это происходит еще до установки HTTPS–соединения, таким образом, в дальнейшем оператор получает информацию обо всех URL–адресах, посещаемых в ходе веб–сессии.

Атакующий не в состоянии перехватывать или изменять сам зашифрованный веб–трафик, но и доступ к информации об URL–адресах несет в себе серьезную угрозу. Так, многие популярные облачные сервисы (например, Google Docs или Dropbox) для аутентификации пользователей направляют им цифровые токены, включенные непосредственно в URL–адрес. Ту же практику задействуют и многие механизмы замены паролей. Очевидно, что доступ злоумышленников к URL–адресам в этих случаях чреват самыми серьезными неприятностями. Опасность угрожает пользователям практически всех существующих браузеров и операционных систем Mac, Windows и Linux.

Подробная информация о механизмах организации подобных атак будет представлена специалистами компании SafeBreach на следующей неделе в ходе конференции Black Hat security в Лас–Вегасе.