A megszerzett Google tanúsítvánnyal Gmail fiókok kompromittálódhatnak

A hackerek olyan tanúsítványt szereztek meg, amely jó az összes Google weboldalhoz – “*.google.com”, nyilatkozott egy biztonsági kutató. A tanúsítvány használatával a bűnözők, bármely Google domain – Gmail, Google kereső motor vagy bármely Mountain View, Calif. által üzemeltetett szolgáltatás – ellen irányuló man-in-the-middle – MITM támadásokat kezdeményezhetnek.

“A támadók DNS mérgezéses támadáson keresztül, megjeleníthetik saját oldalukat a hamis tanúsítvánnyal és megszereztik a felhasználó hozzáférési adatait.”, mondta Andrew Storms az nCircle Security biztonsági műveletek igazgatója. A man-in-the-middle támadásokat spam üzenetekkel is kezdeményezhetnek, amelyek a valódi Gmail-re hasonlító oldalra tartalmaznak hivatkozásokat. Amennyiben az áldozatok követik a hivatkozást, úgy előfordulhat, hogy megszerezik az áldozat hozzáférési adatait.

Mivel a tanúsítvány hiteles, a böngésző nem jelenít meg figyelmeztető üzenetet, amikor a felhasználó az érintett tanúsítvánnyal aláírt weboldalt látogatja meg.

Schouwenberg szerint, az SSL (secure socket layer) tanúsítvány hiteles, amelyet a holland DigiNotar tanúsítvány kibocsátó szervezet írt alá. A DigiNotar-t az az év első felében kebelezte be a chicagói székhelyű Vasco, amely saját weboldalukon “az erős hitelesítés világvezetője”-ként hirdette magát. A megkeresésekre a Vasco egyelőre nem reagált. Az egyelőre nem tisztázott, hogy a tanúsítvány a DigiNotar elégtelen felügyelete miatt, vagy a vállalat hibás tanúsítvány kibocsátó weboldala miatt kompromittálódott.

Szombaton jelentek meg a tanúsítvánnyal kapcsolatos részletek a pastebin.com weboldalon. A pastebin.com egy publikus weboldal, amelyet a fejlesztők (és egyben a hackerek
is) forráskódok megosztására használnak.

Kezdetben a Comodo úgy nyilatkozott, hogy Irán kormánya is benne lehet az incidensben, de napokkal később egy egyedül dolgozó iráni hacker azt állította, hogy ő felelős az ellopott SSL tanúsítványokért.

A helyzet emlékezetesen hasonló egy előző márciusi esetre, amikor egy hacker néhány nagyobb internetes oldal tanúsítványaira tett szert, amelyek között volt a Google és Gmail, Microsoft, Skype és a Yahoo tanúsítványai. Ekkor a gyártók, beleértve a Google-t, a Microsoft-ot és
a Mozilla-t, gyors frissítéseket adtak ki, amelyek feketelistára tették az ellopott Comodo tanúsítványokat.

A “*.google.com” tanúsítványt még nem vonta vissza a DigiNotar. A legelső lépés, hogy blokkolni kell annak használatát, akkor is ha az július 10-én is került kibocsátásra.

Frissítés 1: A Microsoft, sérülékenységi felhívásában figyelmezteti a felhasználókat az esetleges veszélyere.
Bővebben: CERT-Hungary CH-5467

Frissítés 2: Meg nem erősített hírek szerint kedd reggel az érintett tanúsítvány visszavonásra került. (hxxp://service.diginotar.nl/crl/public2025/latestCRL.crl)

Frissítés 3: Úgy tűnik, hogy az incidens elsősorban az iráni lakosságot érinti.

Frissítés 4: A Google Chrome a Mozilla Firefox felhasználók figyelmeztetést kapnak, amennyiben olyan weboldalt látogatnak meg, amely DigiNotar tanúsítványokat használ.

Frissítés 5: A DigiNotar közleményt adott ki, amelyben hivatalosan is megerősítette a tanúsítványok visszavonását. A cég, közleményében azt is közölte, hogy rendszerét július 19-én törték fel, és ekkor szerezhették meg a tanúsítványokat. Egy külső biztonsági audit után minden érintett tanúsítványt visszavontak, de nemrégiben kiderült, hogy egy tanúsítványt mégsem vontak vissza. Így amit értesítést kaptak a holland kormány CERT szervezetétől (NKI.nl), azonnali intézkedéseket tettek, és visszavonták az érintett tanúsítványt.
Bővebben a közleményről.

Frissítés 6: A Mozilla bejelentette, hogy a kompromittálódott tanúsítvány miatt hamarosan új kiadás lesz elérhető termékeiből (Firefox, SeaMonkey és Thunderbird), amelyben a DigiNotar root tanúsítványai visszavonásra kerülnek. Felhívják a felhasználók figyelmét, hogy manuálisan is el lehet távolítani a tanúsítványokat.

Címkék

Google SSL hacker man-in-the-middle tanusítvány