Descubren vulnerabilidad en ciertas conexiones HTTPS

Hace ya varios años se estandarizó el uso de las páginas web HTTPS (HyperText Transfer Protocol Secure) y prácticamente todos los recursos públicos en internet utilizan este protocolo para que podamos acceder a ellos con nuestros dispositivos. La esencia de HTTPS es que las comunicaciones están cifradas por medio de certificados entre el servidor y el usuario, por lo tanto un atacante no puede interferir en el envío de datos entre los equipos sin ese identificador específico.

Ahora, una nueva vulnerabilidad permite realizar un ataque que confunda al navegador para conectarse a un servidor FTP o email que tenga un certificado compatible, por lo tanto, el usuario terminaría conectándose a uno de estos servicios en lugar de al servidor que intentaba visitar. Una investigación sugiere que 14,4 millones de servidores web son compatibles con este tipo de fallo, por lo tanto, vulnerables.

De momento se han descubierto tres ataques diferentes de este tipo bautizados como ALPACA (Application Layer Protocols allowing Cross-Protocol Attacks).

El primero es Upload Attack, donde se asume que el atacante tiene la posibilidad de enviar datos a un servidor distinto y recuperarlo después.

El segundo es Download Attack, donde se asume que el atacante puede descargar información del servidor distinto.

El tercero es Reflection Attack, donde el atacante trata de engañar al servidor.

De momento esto aún no representa un riesgo latente para la mayoría de los usuarios, pero, de ir evolucionando, podríamos estar hablando de un problema bastante serio.