Die Methode HEIST
Unter dem Namen HEIST (HTTP Encrypted Information can be Stolen through TCP-windows) haben zwei Sicherheitsexperten der Universität Leuven eine Methode vorgestellt, mit der sich Angriffe gegen SSL/TLS direkt im Browser durchführen lassen, wie t3n.de berichtete. Entgegen bisher geläufigen Methoden muss der Angreifer dazu keine Man-in-the-Middle-Attacke durchführen, das heißt er muss den Traffic nicht überwachen können.
Bei der Methode HEIST machen sich Angreifer den Umstand zunutze, dass die eingesetzte Gzip-Kompression Informationen über verschlüsselten Daten preisgibt. Mit diesem Wissen gelang es den niederländischen Forschern einen Weg zu finden, diese Daten auch über ein Javascript zu ermitteln, das in einer Website eingebunden ist. Angreifer sollen so ein solches Skript beispielsweise über ein Werbenetzwerk einschleusen können. Mittels des vorher ermittelten Authentifikations-Tokens wäre auch eine Übernahme des Nutzer-Accounts denkbar.
Wie können sich Nutzer vor HEIST schützen?
Wie verlautet haben die niederländischen Forscher ihre Entdeckung bereits an Google und Microsoft weitergeleitet. Bis die gängigen Browser einen Schutzmechanismus gegen die Attacke erhalten, könnte es allerdings noch etwas dauern. Wer sich umgehend schützen möchte muss in den Browser-Einstellungen die Annahme von Drittanbieter-Cookies untersagen. Sie werden normalerweise bei den meisten Browsern standardmäßig zugelassen. Allerdings ist zu beachten, dass manche Websites mit deaktivierten Drittanbieter-Cookies nicht mehr korrekt funktionieren.
Ausführliche Informationen gibt es im Präsentations-Paper sowie den zugehörigen Folien der Sicherheitsexperten von der Black Hat USA 2016.
