De este modo el secreto de los datos que intercambiamos en Internet los usuarios con los proveedores que nos facilita correo electrónico, acceso a redes sociales o transacciones comerciales queda en entredicho. Al parecer el problema tiene que ver con la nueva generación de SSL, denominada TLS 1.0 (Transport Layer Security) y que tendría una vulnerabilidad que permite este acceso no autorizado a los datos protegidos.
El problema se complica porque TLS 1.1 y 1.2 no son compatibles con ningún navegador actualmente y los sitios web no quieren actualizar desde 1.0 para no perder a sus visitantes. Duong y Rizzo han logrado colarse por esa brecha merced a un código que han bautizado como BEAST (bestia), acrónimo de Browser Exploit Against SSL/TLS. Su código al principio era capaz de superar la seguridad HTTPS en una media hora para cookies de autenticación como los que emplea PayPal, aunque actualmente han logrado reducir ese tiempo a 10 minutos.
Fuente: The Register
- Visto: 823