PHP e Python falham ao detectar certificados TLS revogados

Um experimento simples conduzido pela empresa de segurança Sucuri revela que, quatro anos após o lançamento de um estudo inovador sobre o uso de SSL / TLS em aplicativos que não são de navegador, algumas linguagens de programação ainda não conseguem validar esses certificados.

TLS

Hoje, os desenvolvedores contam com várias APIs de terceiros, fornecendo funcionalidade adicional a aplicativos e sites. Por exemplo, eles usam APIs que permitem transações ou aplicativos de bate-papo ao vivo em seus sites, enquanto para a implementação de conexões seguras com os servidores de cada API, eles usam os protocolos HTTPS e TLS.

Quando implementado corretamente, o protocolo TLS fornece criptografia e autenticação. Um aplicativo que não valida adequadamente o certificado TLS pode permitir que os invasores roubem senhas ou detalhes do cartão do usuário e, geralmente, qualquer informação enviada entre os dois servidores.

Em 2012, uma equipe de cientistas liderada pelo professor da Universidade do Texas, Martin Georgiev, descobriu que vários clientes de API escritos em PHP, Python ou Java não conseguiam controlar adequadamente os certificados, principalmente porque as linguagens mencionadas não incluíam as ferramentas apropriadas para faça.

A pesquisa mostrou que ataques MITM simples podem ser realizados facilmente contra a infraestrutura da API, levando a uma interceptação bem-sucedida do tráfego HTTPS.

[su_button url=”https://www.secnews.gr/100078/%ce%bd%ce%ad%ce%b1-sloth-%ce%b5%cf%80%ce%af%ce%b8%ce%b5%cf%83%ce%b7-%ce%bc%ce%b5%ce%b9%cf%8e%ce%bd%ce%b5%ce%b9-%cf%84%ce%b7%ce%bd-%ce%b1%cf%83%cf%86%ce%ac%ce%bb%ce%b5%ce%b9%ce%b1-%cf%84%cf%89%ce%bd-tl/” target=”blank” style=”glass6″ wide=”yes” center=”yes”]]Leia mais: Novo ataque SLOTH reduz a segurança dos protocolos TLS e SSH[/su_button]

Revisando esta pesquisa, quatro anos depois, os especialistas em segurança da Sucuri criaram uma série de cenários de teste, em PHP, Python e Go, que estão vinculados a uma lista de servidores HTTPS vulneráveis ​​conhecidos e registraram seus resultados para determinar possíveis problemas.

Os resultados, mostrados abaixo, mostram que mesmo as versões mais recentes dessas linguagens de programação têm problemas para identificar o status de um certificado SSL / TLS, mas encerram conexões se forem consideradas inseguras.

“PHP, Python e Google Go não executam verificações de revogação de pré-seleção. Se o certificado for violado e revogado pelo proprietário, você nunca saberá “, disse Peter Kankowski, da Sukuri.

a