Belgische onderzoekers vinden groot kritiek lek in HTTPS-verbindingen

Abonneer je gratis op Techzine!

Opnieuw is er een groot kritiek lek gevonden in de beveiligde HTTPS-verbindingen. Het beveiligen van websites gebeurd via zogenaamde SSL-certificaten waardoor er geen HTTP- maar een HTTPS-verbinding wordt opgezet. De S staat daarbij voor secure, maar de afgelopen jaren zijn er nogal wat beveiligingslekken gevonden is de verschillende SSL-standaarden. De nieuwste lek draagt de naam toepasselijk naam Heist.

Heel veel details zijn er op dit moment nog niet bekendgemaakt over Heist, het enige wat we weten is dat het geen man-in-the-middle-attack is waarbij de aanvaller een hotspot hackt of zich voordoet als een hotspot. In dit geval zou het mogelijk zijn om met een malafide website de HTTPS-versleuteling te omzeilen. Dit kan bijvoorbeeld via een advertentie op een HTTPS-pagina.

Bedrijven als Apple, Google, Microsoft en Mozilla zijn inmiddels op de hoogte gesteld zodat zij hun browsers kunnen aanpassen en het lek kunnen dichten. Tijdens de Black Hat hackersconferentie zullen er meer details worden gegeven over Heist.

Op dit moment zou er nog geen misbruik gemaakt worden van het lek, waardoor het lek gedicht kan worden voordat het misbruikt kan worden. Heist zou volgens de onderzoeker, Tom van Goethem van de KU in Leuven, echt enorm makkelijk te misbruiken zijn. Het is daarom maar goed dat het lek eerst gedicht wordt voordat het bekend wordt gemaakt.

Hoeveel Goethem betaald gaat krijgen voor zijn vondst is nog onduidelijk, maar enkele tienduizenden euro’s ligt wel voor de hand.