Transazioni PayPal a rischio per vulnerabilità in Windows

Un hacker ha reso pubblico un certificato Ssl che permette di leggere in chiaro le transazioni PayPal. Problemi anche per Chrome e Safari.



[ZEUS News - www.zeusnews.it - 08-10-2009]

paypal

Alcuni giorni fa è stato reso pubblico un certificato Ssl che permette un attacco di tipo man-in-the-middle alle connessioni criptate a PayPal effettuate tramite i browser Internet Explorer, Chrome e Safari su piattaforma Windows. La vulnerabilità era nota da tempo ma sinora non era stata sfruttata almeno pubblicamente; non per PayPal.

In un attacco man-in-the-middle (uomo nel mezzo) l'attaccante assume due identità e si interpone tra l'utente e il server: il primo crede di connettersi al server reale, mentre si sta connettendo con l'attaccante. Al server succede la stessa cosa: scambia l'attaccante per il client.

Stando nel mezzo grazie alla vulnerabilità suddetta, un attaccante può far credere al browser dell'utente di essere PayPal, grazie al certificato e rimbalzando le connessioni verso PayPal. PayPal cifrerà le risposte per il nostro attaccante che a sua volta, dopo averle lette, le ricifrerà per la vittima - che così non si accorgerà di nulla.

Questa vulnerabilità è dovuta a un vecchio mix di tecnologie che Microsoft continua ad usare: le API NT utilizzano stringhe Unicode nativamente, mentre le API Win32 usano le vecchie stringhe C (delimitate da un null). Le stringhe Unicode delle API NT "conoscono" la loro dimensione; le stringhe C no, vanno lette sino a quando non si trova un carattere null (\0).

La mescolanza di queste due tecnologie ha permesso vari tipi di exploit, il cui fulcro è l'iniezione di codice basandosi sul fatto che si possono creare situazioni in cui una data funzione non sa quando fermarsi.

Al momento non ci sono patch, tuttavia Firefox non risente di questa vulnerabilità poiché utilizza una propria API crittografica.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (ultimi 5 di 28)

{paolo del bene}
certo sono un eroe :-) Leggi tutto
19-10-2009 12:47

{paolo del bene}
sono un eroe, ho salvato la mia banca Leggi tutto
16-10-2009 21:19

Dico vittima solo perchè, a quanto ne so, è stata usata come Proof of Concept. A parità di condizioni avrebbero potuto scegliere qualsiasi web che offriva servizi in https. Sul MITM possiamo aprire un'altra discussione: vero che non è facilmente realizzabile, dns poisoning, arp poisining in lan, bla bla. In questo caso si sta parlando... Leggi tutto
10-10-2009 13:55

Sì, però la possibilità è remota. Un MITM puro, senza installare trojan sulle macchine bersaglio non arriva buon anche solo se non sei sullo stesso troncone di rete di una delle due macchine (a meno di inquinare i dns usati da uno dei due). Chiaramente oggi le macchine win in rete sono un connubio di male quindi un trojan c'è quasi... Leggi tutto
10-10-2009 01:46

Sono d'accordo. Le probabilità che la violazione vada a segno è molto bassa, ma pur sempre presente. Leggi tutto
9-10-2009 19:51

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
iPad/iPhone, Android, Windows Phone hanno servizi che localizzano gli utenti. La privacy è violata?
Sì, almeno potenzialmente.
No, è tutta una bolla di sapone.
Non so.

Mostra i risultati (2923 voti)
Aprile 2018
Assemblea Tim, tutti d'accordo su scorporo rete e riduzione personale
La versione snella di Windows 10, senza sfondi né app superflue
Giornalista accusa: lavorare da Amazon è come essere in prigione
Scoperto per caso l'enzima che divora la plastica in un lampo
Gmail, arrivano le email che si autodistruggono
Windows 10, un bug blocca il rilascio dello Spring Creators Update
Zuckerberg al Congresso: sì, raccogliamo dati anche su chi non è iscritto a Facebook
Zuckerberg ammette: ''Leggiamo tutti i messaggi privati postati su Facebook''
Cloudflare, il Dns è più veloce di quello di Google. E rispetta la privacy
Takeout: come scaricare una copia di quello che Google sa di noi
Marzo 2018
Falla Meltdown mina la sicurezza di Windows 7: il rimedio è peggiore del male
Windows Defender fa piazza pulita della concorrenza
Apple prepara l'iPhone pieghevole per il 2020
Windows 10, in arrivo lo Spring Creators Update
Dopo lo scandalo tutti vogliono cancellarsi da Facebook. Vi spieghiamo come si fa
Tutti gli Arretrati


web metrics