En Seattle-datakonsulent sier at han har utviklet en ny måte å utnytte en nylig avslørt feil i SSL-protokollen, som brukes til å sikre kommunikasjon på Internett. Angrepet, mens det er vanskelig å utføre, kan gi angriperne et veldig kraftig phishing-angrep.

Angrepet utnytter SSL (Secure Sockets Layer) Authentication Gap bug, først avslørt 5. november. En av SSL-bugens oppdagere, Marsh Ray på PhoneFactor, sier at han har sett en demonstrasjon av Heidt's angrep, og han er overbevist om at det kan fungere. "Han viste det for meg, og det er den virkelige avtalen," sa Ray.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

SSL-godkjenningsfeilen gir angriperen muligheten til å endre data som sendes til SSL-serveren, men det er fortsatt ingen måte å lese informasjonen tilbake. Heidt sender data som forårsaker at SSL-serveren returnerer en viderekoblingsmelding som deretter sender nettleseren til en annen side. Han bruker deretter den omadresserte meldingen for å flytte offeret til en usikker forbindelse der nettsidene kan skrives om av Heidts datamaskin før de blir sendt til offeret.

"Frank har vist en måte å utnytte dette blindtoneinnsprøytningsangrepet inn i Et komplett kompromiss mellom forbindelsen mellom nettleseren og det sikre nettstedet, sier Ray.

Et konsortium av Internett-selskaper har jobbet for å fikse feilen siden PhoneFactor-utviklerne først avdekket det for flere måneder siden. Deres arbeid fikk ny haster når feilen ble utilsiktet avslørt på en diskusjonsliste. Sikkerhetseksperter har diskutert alvorlighetsgraden til denne siste SSL-feilen siden det ble offentlig kunnskap.

IBM-forsker Anil Kurmus viste i forrige uke hvordan feilen kunne brukes til å lure nettlesere til å sende Twitter-meldinger som inneholdt brukerpassord.

Dette siste angrepet viser at feilen kunne brukes til å stjele all slags sensitiv informasjon fra sikre nettsteder, sier Heidt.

For å være sårbar må nettsteder gjøre noe som kalles klientforhandling under SSL og også ha noe element på deres sikre websider som kan generere en bestemt 302 viderekoblingsmelding.

Mange høyprofile bank- og e-handelswebsteder vil ikke returnere denne 302 viderekoblingsmeldingen på en måte som kan utnyttes, men et stort antall nettsteder kan bli angrepet, sa Heidt.

Med så mange nettsteder som står i fare for feilen, sier Heidt at han ikke har til hensikt å frigjøre koden umiddelbart.

Fra offerets perspektiv er den eneste merkbare forandringen under et angrep at nettleser nei lo Nger ser ut som om den er koblet til et SSL-nettsted. Angrepet ligner SSL Strip-angrepet demonstrert av Moxie Marlinspike [cq] på en sikkerhetskonferanse tidligere i år.

Leviathan Security Group har laget et verktøy som webmastere kan bruke for å se om nettstedene deres er sårbare for en SSL Authentication Gap angrep.

Fordi SSL, og erstatningsstandarden, TLS, brukes i et bredt spekter av Internett-teknologier, har feilen vidtgående implikasjoner.

Thierry Zoller, en sikkerhetskonsulent med G-Sec, sier at teoretisk sett, feilen kan brukes til å angripe postservere. "En angriper kan potensielt høyhastighetsmeldinger sende over sikrede SMTP [Simple Mail Transfer Protocol] -koblinger, selv om de er autentisert av et privat sertifikat," sa han i et direktemeldingsintervju.

Zoller, som ikke har sett Leviathan's kode, sa at hvis angrepet fungerer som annonsert, vil det bare være noen dager før noen andre finner ut hvordan de skal gjøre det.