Apenas dois meses depois da descoberta do bug Heartbleed, brecha de segurança que permite que hackers roubem senhas de usuários em muitos sites da web e aplicativos móveis, um pesquisador do Japão revelou na quinta-feira, 5, a existência de nova falha no OpenSSL — protocolo de criptografia usado na internet para proteger informações sigilosas, como as senhas —, a qual “pode ser mais perigosa do que o Heartbleed”, já que pode ser usada para espionar comunicações pessoais, segundo afirmou ao jornal britânico The Guardian.
De acordo com Tatsuya Hayashi, pesquisador do laboratório Lepidum que encontrou a nova brecha de segurança, a falha, denominada SSL/TLS MITM (CVE-2014-0224), existe há pelo menos 15 anos e foi introduzida pelo mesmo homem responsável pelo Heartbleed. Segundo ele, os hackers podem usar esta vulnerabilidade para interceptar dados confidenciais do computador de um alvo, enquanto conectados à mesma rede. A nova vulnerabilidade está presente em todas as compilações de OpenSSL anteriores às versões OpenSSL 1.0.1 e 1.0.2 beta e coloca em risco computadores, tablets e telefones celulares.
Em uma rede Wi-Fi pública, por exemplo, hackers podem usar o bug OpenSSL para interceptar nomes de usuário, senhas e dados de cartões de crédito de outras pessoas na rede e até mesmo alterar os dados enviados e recebidos por outros computadores, ataque também conhecido como “man-in-the-middle” – forma de ataque em que os dados trocados entre duas partes são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas percebam.
Segundo alertou Nick Percoco, vice-presidente de serviços estratégicos da empresa de segurança Rapid7, o trabalho de corrigir o bug encontrado por Hayashi é provável que seja muito maior do que o de reparação do Heartbleed, alertou Nick Percoco, vice-presidente de serviços estratégicos da empresa de segurança Rapid7. “Do ponto de vista de remediação, na verdade, é pior para as organizações que executam o OpenSSL em servidores. O Heartbleed apenas afetou versões datadas de dois anos atrás”, disse ele.
No entanto, muitos navegadores populares parecem estar a salvo de ataques, conforme observou o engenheiro de segurança do Google, Adam Langley. “Clientes que não usam o OpenSSL (Internet Explorer, Firefox, Chrome, iOS, Safari, etc) não serão afetados. Não obstante, todos os usuários devem atualizar seus navegadores”, declarou.