Az önmagában nem újdonság, hogy digitális tanúsítványokkal próbálnak visszaélni a kiberbűnözözők. A módszer ugyanis alkalmas arra, hogy elhitesse a felhasználókkal: legális szolgáltatásokat vesznek igénybe, és eredeti weboldalakon járnak.
A böngészőfejlesztésnek éppen ezért fontos iránya, hogy a böngésző valamiféleképpen jelezze a felhasználónak: az adott weblap vagy alkalmazás hamis vagy éppen a visszavont tanúsítványt tartalmaz. Jellemzően egész oldalas, igencsak szembetűnő figyelmeztetéseket jelenítenek meg, ha egy weboldal SSL tanúsítványával valami nincs rendben. Sok alkalmazásnál, főleg a mobil appoknál azonban ez még hiányzik.
Közbeékelődéses támadásokra használják
A Netcraft egyik közelmúltbeli vizsgálata, amelyről a cég hivatalos blogján számoltak be, számos olyan tanúsítványra bukkant, amelyek első ránézésre neves bankokhoz, szolgáltatókhoz, kereskedelmi vállalatokhoz vagy éppen közösségi oldalakhoz tartoznak. Csakhogy valójában ezek precízen összeállított, de ún. önaláírt, nem hiteles SSL tanúsítványok voltak.
A hamis tanúsítványok az asztali és a hordozható számítógépeken futtatott, modern webböngészők esetében nem jelentenek túl nagy kockázatot, ugyanis azok jól láthatóan figyelmeztetik a felhasználót a veszélyre. Ennek ellenére mégis veszélyesek.
A hamis tanúsítványok ugyanis képesek átjutni a nem megfelelően kivitelezett programok, mobil alkalmazások biztonsági ellenőrzésein, és így például ún. közbeékelődéses (man-in-the-middle) támadásokat hajthatnak végre. Ennek lényege, hogy az elkövetők a felhasználó és a célpontba állított rendszer közé próbál "beékelődni", hogy lehallgathassa és manipulálhassa az adatforgalmat. Erről azonban a felhasználó többnyire már csak akkor szerez tudomást, amikor már késő.
A közbeékeléses támadás sémája
A Netcraft a Google, a Facebook, valamint az Apple nevében készült hamis tanúsítványokat is talált, de létezik olyan is, amellyel orosz bankok elektronikus fizetési szolgáltatásaival lehet visszaélni. Szerencse a szerencsétlenségben, hogy a támadások sikeréhez számos körülménynek kell egyszerre teljesülnie.
Először is a felhasználónak olyan alkalmazást kell futtatnia, amely nem ellenőrzi megfelelően a tanúsítványokat. Emellett a támadónak be kell épülnie a felhasználó és a felkeresett webszerver közé. Ez utóbbira például a Wi-Fi hálózat, a névszerver-beállítások manipulálása vagy akár routerek kompromittálása is lehetőséget ad.
A mobil alkalmazások fejlesztői nem tanulnak
De nem csak a Netcraft mostani elemzései jelzik ennek a típusú problémának a súlyosságát. A Stanford Egyetem és a Texasi Egyetem kutatói még 2012-ben elemeztek egy sor asztali és mobil alkalmazást, amiből kiderült: gyakori, hogy a szoftverekben és alkalmazás-könytárakban igencsak hiányos az SSL tanúsítványok érvényességének ellenőrzése. Így azokban különösebb nehézségek nélkül létrehozhatók önaláírt tanúsítványok.
A legutóbb ugyanezt vizsgálta két német egyetem, a hannoveri Leibniz Egyetem és a marburgi Philipps Egyetem kutatócsoportja. 13 500 androidos alkalmazást vizsgáltak meg. 1074 olyan alkalmazást találtak, amelyben az SSL támogatás közel sem volt megfelelő: vagy érvényesnek minősítettek önaláírt tanúsítványokat, vagy olyan tanúsítványokat is elfogadtak, melyek nem is ahhoz a domainhez tartoztak, amit az adott alkalmazás megpróbált elérni.
Az IOActive biztonsági cég szintén egy közelmúltbeli kutatása pedig az iOS-kompatibilis banki alkalmazásokat vizsgált: az elemzésnek alávetett alkalmazások 40 százaléka nem ellenőrizte megfelelően a digitális tanúsítványokat, és ilyen módon sérülékeny volt a közbeékelődéses támadásokkal szemben.
Ez azért komoly veszély, mert míg a modern webböngészőkkel viszonylag egyszerű felismerni a közbeékelődéses támadást a figyelmeztetések miatt, ugyanerre a mobil alkalmazásoknál még nincs kialakult gyakorlat. A helyzet egyébként már csak azért sem túl rózsás, mert a két német egyetem egy 2012-es kutatása egy sor problémát feltárt már, mégsem történt érdemi változás. Akkor is az volt a kutatás fő megállapítása, hogy a mobil alkalmazásoknál alapvető problémák vannak a SSL/TLS támogatással. Ráadásul akkor a kutatók összefüggést is találtak e probléma és az American Express, a Paypal, a Facebook, a Twitter, a Google és a Yahoo! Szolgáltatásait érintő incidensek között.
(A cikk a Biztonságportálon megjelent írás szerkesztett változata.)
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak