Протокол HTTPS оказался подвержен новому типу атак, ориентированных на похищение пользовательских данных.
Протокол HTTPS является одним из самых распространённых для криптографической защиты данных пользователей и защиты их персональной информации. Однако, недавно в протоколе была обнаружена уязвимость к новым типам хакерских атак.
Найденная ошибка в защите протокола позволяет злоумышленникам похищать персональные данные пользователей, в том числе, данных об их почтовых ящиках, паролях и платёжных реквизитах. Причём, в большинстве случаев время удачной атаки не превышает 30 секунд.
Более подробную информацию обещают сообщить на грядущей конференции по безопасности Black Hat в Лос-Анджелесе. Уже сейчас точно известно, что удаётся перехватывать и декодировать любые данные между пользователем и системами электронной коммерции и электронного банкинга по протоколам TLS (Transport Layer Protocol) и SSL (Secure Sockets Layer).
Атака через обнаруженную уязвимость позволяет “вскрывать” номера карт социального страхования, банковских карт, адреса электронных писем, ссылки на сброс пароля и некоторые виды электронных ключей и подписей.
Единственным условием для успешной атаки является пассивный доступ к передаваемому трафику и нажатие пользователем на вредоносную ссылку, например, посредством кода iFrame.