Onderzoekers hebben een nieuwe aanval ontwikkeld waardoor het voor een aanvaller mogelijk wordt om de volledige url van https-websites te zien, wat de privacy en inlogsessies van gebruikers in gevaar brengt. Https zorgt ervoor dat het verkeer van de gebruiker naar de website is versleuteld.

Een aanvaller die het verkeer afluistert kan alleen zien welke website de gebruiker bezoekt, maar niet de inhoud of welke pagina's er worden opgevraagd. Itzik Kotler en Amit Klein van beveiligingsbedrijf SafeBreach hebben nu toch een manier gevonden om de volledige adressen te achterhalen. Voor hun aanval maken de twee onderzoekers gebruik van het WPAD (Web Proxy Auto Discovery) protocol. Via dit protocol kunnen computers binnen een organisatie dezelfde webproxyconfiguratie gebruiken. Het wordt voornamelijk gebruikt in netwerken waar computers alleen via een proxy naar buiten mogen verbinden.

De meest voor de hand liggende manier om de aanval uit te voeren is wanneer een computer via het dynamic host configuration protocol (dhcp) verbinding met een netwerk probeert te maken, zo meldt Ars Technica. Naast het uitgeven van ip-adressen kan dhcp ook worden gebruikt voor het opzetten van een proxyserver die browsers bij het opvragen van bepaalde url's zullen gebruiken. In dit geval wordt de browser van het doelwit gedwongen een proxy autoconfig (PAC) bestand op te halen, waarin staat wanneer de proxy moet worden gebruikt.

Omdat de kwaadaardige PAC-code de op te vragen url eerder ontvangt voordat de https-verbinding is opgezet, kunnen de aanvallers zo de hele url achterhalen. De aanval werkt tegen bijna alle browsers en besturingssystemen en kan worden uitgevoerd door de beheerders van het betreffende netwerk, bijvoorbeeld in het geval van een wifi-hotspot. Dit heeft niet alleen gevolgen voor de privacy van de gebruiker, maar laat een kwaadwillende netwerkbeheerder ook de inloggegevens/sessies van de gebruiker stelen. Kotler en Klein zullen hun bevindingen deze week tijdens de Black Hat-conferentie in Las Vegas demonstreren.