Viele Nutzer von Online-Banking, Internet-Bezahldiensten oder Online-Shops verlassen sich auf die sichere Verschlüsselung ihrer Daten. Dafür soll das HTTPS-Protokoll sorgen, das für eine verschlüsselte Verbindung zwischen dem Browser des Nutzers und dem Server des Anbieters zuständig ist.
Wegen gestohlener SSL-Zertifikate ist das Vertrauen der Anwender zu dieser Art der Absicherung des Datentransfers ohnehin schon geschwunden. Jetzt droht eine weitere Sicherheitslücke das gesamte System der SSL-Verschlüsselung noch mehr infrage zu stellen.
Die Sicherheitsexperten Juliano Rizzo und Thai Duong wollen auf der
Ekoparty Security Conference in Buenos Aires einen Hack vorstellen, der zeigt, wie sich eine HTTPS-Verbindung entschlüsseln lässt. Dabei nutzen sie eine Schwachstelle der SSL-/TLS-Implementierung des Browsers aus. Rizzo und Duong haben dazu ein Tool mit dem Namen BEAST (Browser Exploit Against SSL/TLS) entwickelt.
In einer E-Mail schreibt Duong. „BEAST funktioniert anders als die bekannten HTTPS-Attacken. Diese zielten bisher auf die SSL-Authentifizierung ab. BEAST greift dagegen direkt den Datenschutz durch das Protokoll an. Soweit wir wissen, stellt BEAST die erste Angriffsmethode dar, mit der sich HTTPS-Abfragen entschlüsseln lassen.“