Pesquisadores de segurança descobriram e prometem demonstrar em breve uma falha de segurança que poderia abalar a segurança da internet como conhecemos atualmente. O ataque apelidado de CRIME (Compression Ratio Info-leak Made Easy) funciona nas compressões de dados TLS e SPDY, esta última utilizada especialmente pelo Google em uma série de produtos online.
Sites com HTTPS são mais seguros porque o navegador verifica a identidade da empresa mantenedora da página e cria uma camada de criptografia para a sessão no navegador. Os dados trafegam de maneira segura, bem como os cookies. Ainda que fiquem armazenados no computador, eles também passam por criptografia.
Os pesquisadores que identificaram a nova forma de ataque afirmam que a vulnerabilidade intercepta os cookies ainda em transmissão. Um cibercriminoso com acesso aos cookies de uma sessão ainda autenticada ao, digamos, Gmail poderia utilizar os recursos do webmail do Google como se fosse o internauta legítimo responsável pela conta.
O funcionamento do CRIME não depende de plugins específicos. JavaScript serviu para tornar o ataque mais rápido, porém existe a possibilidade de executá-lo mesmo sem o JavaScript.
A boa notícia fica por conta de representantes dos principais navegadores. Internet Explorer, Chrome e Firefox estão imunes aos ataques pelo método CRIME, dizem Microsoft, Google e Mozilla (respectivamente). Entretanto, navegadores menos disseminados correm risco de apresentar a vulnerabilidade.
Donos de smartphones devem ter atenção redobrada. Ainda não temos a confirmação de que os navegadores para dispositivos móveis tem segurança suficiente para que cibercriminosos não executem o método CRIME.
Brevemente teremos mais informações sobre o funcionamento do CRIME. Os pesquisadores vão apresentar detalhes do método durante a conferência de segurança Ekoparty, que acontece em 21 de setembro na Argentina.
Com informações: Ars Technica e PC World
Falha no HTTPS permite interceptar dados protegidos pelo SSL