Deze week kwamen twee onderzoekers in het nieuws wegens een aanval waardoor ze de volledige url van https-sites kunnen zien, om bijvoorbeeld inloggegevens te stelen, maar andere onderzoekers hebben het probleem eerder dit jaar ook al ontdekt en vervolgens bij de verschillende leveranciers gemeld.
Daardoor is het probleem inmiddels gepatcht door Apple en Google. Voor Windowsgebruikers is er een eenvoudige noodoplossing beschikbaar. Dat meldt beveiligingsbedrijf Context. Het bedrijf spreekt over een "20 jaar oud beveiligingslek" waarbij Proxy Auto-Config (PAC) bestanden worden gebruikt om de volledige url van een bezochte website te achterhalen. Https zorgt er normaliter voor dat het verkeer van de gebruiker naar de website is versleuteld. Een aanvaller die het verkeer afluistert kan alleen zien welke website de gebruiker bezoekt, maar niet de inhoud of welke pagina's er worden opgevraagd.
Een kwaadaardige netwerkbeheerder, bijvoorbeeld in het geval van openbare wifi-netwerken, kan browsers die verbinding met het netwerk maken een kwaadaardig PAC-bestand toesturen. Dit PAC-bestand vertelt de browser welke proxyserver er moet worden gebruikt bij het opvragen van een bepaalde url. Omdat het kwaadaardige PAC-bestand de op te vragen url ontvangt voordat de https-verbinding is opgezet, kunnen de aanvallers zo de hele url achterhalen. Deze url's kunnen gevoelige gegevens bevatten, zoals zoekopdrachten en tokens voor het inloggen op websites.
Volgens Context speelt het probleem vooral bij Windowscomputers, maar zijn ook Android, OS X en iOS kwetsbaar als ze zijn ingesteld om een kwaadaardig PAC-bestand te gebruiken. Dit soort aanvallen zijn volgens Context al vrij lang bekend. Doordat steeds meer websites op https overstappen en openbare wifi-netwerken overal te vinden zijn, is het lekken van https-url's nu een veel groter probleem dan een paar jaar geleden.
Het beveiligingsbedrijf stelt dat het probleem de afgelopen 12 maanden door verschillende onderzoekers is ontdekt. Het probleem werd echter niet aan de betreffende browser- en besturingssysteemontwikkelaars gemeld. In maart besloot Context de betrokken partijen wel te waarschuwen, wat resulteerde in updates voor OS X, iOS, Android en Chrome. Windowsgebruikers kunnen via het Configuratiescherm en Internetopties de optie "Instellingen automatisch detecteren" uitschakelen en zich zo tegen de aanval wapenen.
Deze posting is gelocked. Reageren is niet meer mogelijk.