Onderzoekers van de Amerikaanse Purdue University hebben naar eigen zeggen een ernstig lek in een door Google ontwikkeld protocol ontdekt dat door meer dan 1 miljard gebruikers wordt gebruikt en ervoor kan zorgen dat een aanvaller de lengte van iemands wachtwoord kan achterhalen.
Het onderzoek en de aankondiging van de kwetsbaarheid, die door de onderzoekers Ring-Road wordt genoemd, krijgen echter de nodige kritiek te verduren. Volgens critici wordt de impact van het probleem door de onderzoekers overdreven. Het Google-protocol in kwestie wordt QUIC genoemd, wat staat voor Quick UDP Internet Connections. Het moet de snelheid en prestaties van Chrome en Google-diensten versnellen. Het protocol lekt echter de exacte lengte van gevoelige informatie wanneer het via internet wordt verstuurd. Het kan dan bijvoorbeeld gaan om de lengte van iemands wachtwoord die op Gmail inlogt.
Volgens de onderzoekers wordt op deze manier het doel van de onderliggende encryptie ondermijnd, dat er voor moet zorgen dat gegevens vertrouwelijk blijven, waaronder de lengte van het wachtwoord. De onderzoekers adviseren Chrome-gebruikers om QUIC in de browser uit te schakelen en tweefactorauthenticatie voor hun Gmailaccount in te schakelen. Verder krijgen systeembeheerders het advies om QUIC via de firewall te blokkeren.
De aankondiging van de kwetsbaarheid krijgt zowel op Hacker News als Reddit veel kritiek te verduren. Zo wordt gesteld dat het geen geheim is dat QUIC de wachtwoordlengte niet verbergt. Daarnaast zou het uitschakelen van het QUIC-protocol het probleem niet verhelpen, aangezien TLS zich op dezelfde manier gedraagt. Een ander kritiekpunt is het ontbreken van informatie en details over de kwetsbaarheid. Verder zou alleen het weten van de lengte in de praktijk geen impact hebben op het kraken van een wachtwoord dat al lang genoeg is om een bruteforce-aanval te weerstaan.
De onderzoekers laten echter weten dat ze op 18 april tijdens een beveiligingsconferentie hun onderzoek zullen demonstreren. Na te zijn ingelicht is Google samen met de Internet Engineering Task Force (IETF) een onderzoek gestart om te kijken of het probleem kan worden verholpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.