• PayPal, un certificato SSL fasullo mette in crisi Safari, Internet Explorer e Chrome

    paypal.jpg

    Sono stati segnalati alcuni problemi di sicurezza legati a PayPal. Un certificato SSL fasullo sarebbe in grado di “ingannare” il browser sulla bontà della transazione, facendo pervenire al programma, quindi anche all’utente, l’idea che la navigazione si stia svolgendo secondo i canonici protocolli sicuri.

    Sembra essere questo il risultato cui è arrivato un cracker che è riuscito a sfruttare una vulnerabilità propria di una libreria comune a Safari, Internet Explorer e Chrome.

    Il sistema usato per fuorviare i sistemi di sicurezza integrati nei browser è quello di creare, come detto prima, un certificato SSL falso, in modo da inibire la funzione che blocca in automatico l’accesso a qualsiasi sito fraudolento e riuscendo in tal modo a far credere al browser che ci sono tutte le garanzie per poter effettuare la transazione.

    Ad essere “usato” per questo scopo è un bug sulla CryptoAPI di Windows normalmente utilizzata per effettuare il parsing dei certificati SSL. Da quella è stato poi relativamente semplice sfruttare un SSLSniff che causa i comportamenti errati dei browser con gli effetti sopra descritti.

    Immediate sono arrivate le rassicurazioni di PayPal che affermano come gli esperti stiano cercando una soluzione al problema, mentre sul lato browser a parte Mozilla, che è stata la prima ad intervenire, solo Apple sembra essere riuscita a correggere la falla, mentre ancora non sono pervenute le soluzioni né da parte di Microsoft né da Google, che quindi lasciano per ora i propri browser vulnerabili.

    Tags:

    Se vuoi aggiornamenti su PayPal, un certificato SSL fasullo mette in crisi Safari, Internet Explorer e Chrome inserisci la tua e-mail nel box qui sotto:


    Ho letto e acconsento l'informativa sulla privacy

    Si No

    Acconsento al trattamento dei dati personali di cui al punto 3 dell'informativa sulla privacy

    Si No

    Commenti

    1. emmebì dice:

      Dunque, se io vengo colpito da una “beffa” informatica non per demerito mio, ma proprio a causa di un prodotto per il quale ho pagato (Windows), posso chiedere i danni?

      Sì.

    2. GCv dice:

      In realtà, come si evince da questa pagina

      http://code.google.com/p/chromium/issues/detail?id=24190&q=cryptoapi&colspec=ID%20Stars%20Pri%20Area%20Type%20Status%20Summary%20Modified%20Owner%20Mstone

      gli sviluppatori di Chrome hanno già approntato una patch per questo problema, che renderà il browser Google capace di rilevare il flag NULL dei nomi dei certificati SSL.

    3. Eleonora dice:

      Ecco il motivo per cui Mozilla Firefox è il miglior browser in circolazione. Io non mi sono mai fidata degli altri, specialmente di Explorer -.-

    Commenta

    Your email address will not be published. Required fields are marked *