Numrush

Onderzoekers vinden lek in HTTPS-verbindingen via browser

Onderzoekers uit België hebben een lek gevonden in de HTTPS-standaard voor versleuteld internetverkeer. Daardoor is het mogelijk dat burgerservicenummers, e-mailadressen en andere fraudegevoelige informatie die via dit soort verbinding wordt verstuurd zichtbaar wordt voor kwaadwillenden. Dat meldt Ars Technica.

Het lek is risicovol omdat slechts het bezoeken van een malafide website al genoeg kan zijn om je gegevens zichtbaar te maken. Het is namelijk direct te misbruiken via de browsers zelf door gebruik te maken van javascript. Daardoor is geen derde tussenpartij meer nodig. Criminelen zouden deze bijvoorbeeld in een advertentie kunnen verstoppen die via een advertentienetwerk op allerlei sites wordt ingeladen.

Door het lek, dat de onderzoekers HEIST noemen, kunnen hackers achterhalen hoe groot de bestanden zijn die je over het internet verstuurt. Daarna kan hij sommige gegevens via al bekende exploits ontsleutelen, doordat de grootte bekend is.

Het lek werd ontdekt door de Belgische onderzoekers Tom Van Goethem en Mathy Vanhoef van de KU Leuven. Van Goethem heeft details over de HEIST-techniek gepubliceerd op zijn website (pdf). Tegen Ars Technica zegt hij informatie ook al gedeeld te hebben met Microsoft en Google. De ontdekkers van het lek hebben de techniek gepresenteerd op de hackersconferentie Black Hat in Las Vegas.