Το DROWN σπάει ένα στα τρία HTTPS websites

H επίθεση DROWN σπάει τις συνδέσεις HTTPS στο 33% των websites.

 
 
 
 

To DROWN είναι μία νέα ευπάθεια στο Open SSL που επηρεάζει τους servers που χρησιμοποιούν SSLv2. To DROWN μπορεί να αποκρυπτογραφήσει τη σύνδεση σας HTΤPS και να πάρει passwords και αριθμούς πιστωτικών καρτών. Περισσότεροι από το 33% των servers διαθέτουν την ευπάθεια, ένας αριθμός σημαντικά μεγάλος.

Ανάμεσα στα top websites με την ευπάθεια ήταν, τουλάχιστον και μέχρι πριν λίγo, τα Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr και Samsung websites.

To DROWN επιτρέπει στους χάκερ να εξαπολύσουν επιθέσεις Man-in-the-Middle αν το πιστοποιητικό είναι σε άλλον server ή με αποστολή στους servers ειδικά διαμορφωμένων πακέτων.

Η επίθεση μπορεί να πάρει λιγότερο από ένα λεπτό για να εκδηλωθεί.

Για την προστασία απέναντι στην απειλή το SSLv2 πρέπει να είναιαπενεργοποιημένο ή το κλειδί να μην είναι shares με άλλους servers.