De code die wordt gebruikt voor het controleren van SSL-certificaten in niet-browser software, is de gevaarlijkste software ter wereld. Dat beweren onderzoekers van de Universiteit van Texas en de Standford Universiteit. De onderzoekers ontdekten dat e-commercie software zoals ZenCart, Ubercart en PrestaShop, alsmede bekende instant messaging programma's zoals Trillian en AIM, alle clouddiensten die op Amazon’s EC2 Java library zijn gebaseerd, PayPal and Amazon Flexible Payments Service (FPS) en de Chase Bank Android-applicatie, geen goede encryptie gebruiken.
Ontwikkelaars
De grootste boosdoener zijn de libraries die de programma's voor de encryptie gebruiken. SSL wordt gebruikt voor het beschermen van gegevens en moet Man-in-the-middle-aanvallen voorkomen. "Wij demonstreren dat validatie van SSL-certificaten in veel belangrijke applicaties en libraries volledig stuk is", aldus de onderzoekers.
De oorzaak van het probleem zijn slecht ontworpen API's voor het implementeren van SSL, zoals JSSE, OpenSSL en GnuTLS en data-transport libraries (zoals cURL) die ontwikkelaars allerlei verwarrende instellingen en opties bieden. De onderzoekers voerden verschillende man-in-the-middle-aanvallen uit, met drie soorten valse certificaten.
Aanval
Als eerste een certificaat met dezelfde naam als de host waarmee de client verbinding probeerde te maken. Bij het tweede certificaat werd een verkeerde naam gebruikt, terwijl het derde certificaat was uitgegeven door een certificate authority voor het domein AllYourSSLAreBelongTo.us. In all gevallen maakten slachtoffers verbinding en was het mogelijk om verkeer te onderscheppen.
Om het probleem op te lossen vragen de onderzoekers aan de ontwikkelaars van de libraries om eenvoudige en consistente interface voor het melden van fouten te maken.
"De belangrijkste les van dit onderzoek is dat het gebruik van SSL in niet-browser software een verrassend uitdagende taak is", zo concluderen de onderzoekers in het rapport 'The Most Dangerous Code in the World: Validating SSL Certi?cates in Non-Browser Software'.
Deze posting is gelocked. Reageren is niet meer mogelijk.