37% dos servidores ainda estão vulneráveis a falha CCS Injection, diz AVG

Por Rafael Romer | 19.06.2014 às 16:30 - atualizado em 23.06.2014 às 09:12
photo_camera Andrea Danti

Foto;Andrea Danti/Shutterstock

A AVG divulgou nesta quarta-feira (18) dados de uma sondagem que avalia qual o alcance que a vulnerabilidade CCS Injection, da criptografia Open SSL, ainda tem na web. De acordo com a empresa de segurança, 37% dos servidores dos sites mais populares ainda estão em risco.

A empresa baseou seu monitoramento nos 45 mil sites ranqueados no topo do Alexa, que avalia o tráfego de páginas da web. Do total, 17 mil ainda estão completamente vulneráveis ao CCS Injection. Apenas 5 mil sites foram considerados protegidos. A empresa não divulgou os nomes dos sites não seguros, entretanto.

Os 22,5 mil sites restantes não retornaram dados aproveitáveis para o levantamento. De acordo com a empresa, isso indica que as páginas podem não usar o OpenSSL para sua criptografia de segurança.

A AVG integrou a detecção da vulnerabilidade CCS Injection à sua extensão para navegadores WebTuneUp, lançada no início deste ano. Com a ferramenta, disponível para os navegadores Google Chrome e Firefox, o usuário receberá um alerta sempre que acessar uma página cujo servidor não esteja seguro.

Apelidada de CCS Injection, a vulnerabilidade do OpenSSL foi divulgada no início desse mês, após a descoberta do pesquisador Masashi Kikuchi, da empresa de segurança japonesa Lepidum. De acordo com Kikuchi, a falha de segurança permite a atacantes interceptar e decodificar informações criptografadas na web, expondo dados sensíveis.

Pela complexidade de acesso, que requer que o hacker fique entre o servidor OpenSSL e o cliente, a falha foi considerada menos preocupante que a Heartbleed, revelada em abril deste ano.

Segundo Mariano Sumrell, diretor de Marketing da AVG Brasil, apesar de a possibilidade de sequestro de informação ser grave, a falha exige que uma série de fatores ocorra para poder ser explorada.

"Ele é mais difícil de ser implementado", explicou ao Canaltech. "As condições são que a vítima não tenha atualizado seu cliente Open SSL e que o site também não esteja atualizado. Em terceiro lugar, o atacante precisa estar na mesma rede que a vítima, o que pode ocorrer em um Wi-Fi público, por exemplo". Nesse caso, a empresa indica que o usuário mantenha sempre os sistemas atualizados, o que deve evitar a vulnerabilidade.