De bekende beveiligingsonderzoeker Jacob Appelbaum heeft een SSL-certificaat gepubliceerd, waarmee browsers geen alarm slaan als het certificaat voor een ander domein wordt gebruikt. Hierdoor kunnen phishers en cybercriminelen legitiem lijkende banksites opzetten, inclusief SSL-verbinding, zonder dat de browser hiervoor waarschuwt. Het probleem werd ontdekt door specialisten Dan Kaminsky en Moxie Marlinspike. Een aanvaller kon een SSL-certificaat met een null karakter aanvragen, bijvoorbeeld Paypal.com\0.nepsite.com. Niet alleen keurde de uitgevende Certificate Authority dit goed, de SSL-client negeerde de karakters na het null karakter. Daardoor konden phishers SSL-certificaten voor legitieme websites aanvragen die niet van henzelf zijn.
Inmiddels is het probleem in alle browsers gepatcht en hebben gebruikers genoeg tijd gehad om te patchen, wat reden voor Applebaum was om het vervalste certificaat voor iedereen beschikbaar te maken. Zodoende kunnen ontwikkelaars hun eigen programma's testen of die nog kwetsbaar zijn. Zo werd gisteren pas het probleem voor BlackBerry-gebruikers opgelost. In het geval van een kwetsbare browser slaat die geen alarm. Alleen door de eigenschappen van het certificaat te controleren kan een gebruiker de zwendel opmerken.
Deze posting is gelocked. Reageren is niet meer mogelijk.