A quanto pare qualcuno ha sfruttato con successo il bug di progettazione del protocollo SSL/TLS di cui abbiamo parlato qualche giorno fa.
Stando a quanto riportato sul proprio blog, lo studente Anil Kurmus dichiara di essere riuscito a rubare la password di un account Twitter mediante un attacco man-in-the-middle. Quello che sembrava una vulnerabilità più teorica che pratica, ha trovato a quanto pare una reale “applicazione”.
Kurmus è riuscito a sfruttare il bug, iniettando del codice che tramite le Twitter API effettuasse il dump del contenuto della richiesta http e lo pubblicasse come Tweet una volta decrittato.
Il giovane studente turco, che ha appena concluso la sua tesi specialistica all’Eurecom Institute di Zurigo, è convinto che l’aver reso pubblico questo bug e il come sfruttarlo, sono la scelta migliore.
È importante che la gente sia a conoscenza del fatto che qualcun altro potrebbe aver già da tempo adottato soluzioni analoghe per rubare credenziali utente.
Twitter ha costituito la piattaforma ideale per il testing di questa vulnerabilità per svariate ragioni:
- ogni richiesta inviata alla piattaforma di microblogging include username e password dell’account utente;
- le API consentono di pubblicare il contenuto dello stream dati intercettato sotto forma di messaggio (tweet) che poi può essere tranquillamente recuperato;
- molti utenti Twitter inviano e ricevono messaggi utilizzando applicazioni di terze parti che ignorano pagine di errore come quella risultante da un attacco simile.
Come riportato sullo stesso blog, Twitter ha introdotto un fix a questo problema già a metà settimana scorsa.
Relativamente al bug SSL/TLS, il team di sviluppo di OpenSSL ha “risolto” eliminando la possibilità di “TLS renegotiation” nella versione 0.9.8l del software.
Tuttavia questa scelta potrebbe portare al malfunzionamento di alcuni servizi.
Altri vendor, tra cui Cisco e Juniper hanno confermato che i loro prodotti sono al momento vulnerabili a questo tipo di problema.