Novo ataque torna HTTPS vulnerável e afeta todos os sistemas operacionais

Por Redação | 28 de Julho de 2016 às 10h11

O ícone de cadeado ou o prefixo HTTPS em endereços URL significa que as informações compartilhadas no site não são visíveis para hackers e até hoje isso era suficiente para acalmar muitos usuários temerosos. Essa segurança, porém, pode estar em xeque após a descoberta de um novo tipo de ataque capaz de driblar o mecanismo de proteção de dados.

O ataque, intitulado Unholy PAC, pode ser feito de qualquer rede, incluindo conexões públicas, e consiste em utilizar a ferramenta conhecida como WPAD (Web Proxy Autodisovery) para expor solicitações do browser, tornando visível aos hackers qualquer endereço que a vítima visitar. Essa vulnerabilidade foi identificada em todos os navegadores de todos os sistemas operacionais.

A manobra pode ser executada de duas maneiras. A primeira consiste em uma conexão proxy forçada via configuração automática de proxy (PAC) que faz com que as informações sejam compartilhadas antes que a conexão segura HTTPS seja estabelecida. Já a segunda, utiliza um malware que altera as configurações de rede do computador.

Muitas pessoas confiam que o HTTPS fornece proteção suficiente até quando a rede LAN ou Wi-Fi não é doméstica, como em pontos públicos, hotéis, aeroportos etc. "Nós podemos mostrar que essa ferramenta não oferece proteção quando se tem a WPAD habilitada, portanto muitas pessoas estão expostas a esse tipo de ataque quando acessam conexões não confiáveis", explica o cofundador da empresa de segurança SafeBreach e responsável pela pesquisa Itzik Kotler, que fará uma demonstração pública do ataque na conferência de segurança da Black Hat em Las Vegas na próxima semana.

Apesar de apenas a URL ficar exposta, o risco é muito alto, visto que informações pessoais são inseridas nos links em muitos sites. Por exemplo, o OpenID standard, que utiliza endereços para autenticar usuários em outros sites ou serviços de documentos como o Google e Dropbox, insere o número de segurança nas URLs, além de serviços de recuperação de senha que dariam acesso total à contas do usuário.

O ataque se torna potencialmente perigoso pelo caráter furtivo. Como a barra de endereços ainda vai ficar verde com o HTTPS, o usuário mal pode imaginar que foi vítima de hackers.

Desenvolvedores de browsers se verão obrigados a criar uma correção para esta falha em breve e poderão se inspirar no Edge e Internet Explorer 11, da Microsoft, que utilizam a ferramenta FindProxyForUrl para utilizar apenas os nomes de hospedagem dos links em vez de endereços completos que possam ter números de autenticação e outras informações do usuário.

Fonte Ars Technica