Vulnerabilidad en PayPal, desacredita certificados EV
Por Redacción VSAntivirus
[email protected]
Según reporta Netcraft, compañía que brinda servicios de
seguridad en Internet, un investigador finlandés descubrió
una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en
PayPal.com, que permite a un atacante agregar su propio
contenido al sitio, y de ese modo robar las credenciales de
los usuarios que accedan a él.
PayPal.com, el popular sitio de pagos vía Internet, es una de
las primeras compañías que adoptó certificados EV (Extended
Validation o Validación Extendida). Internet Explorer, desde
su versión 7, Firefox y Opera, incluyen soporte para los
mismos. Cuando los sitios EV presentan el certificado, la
barra de direcciones del navegador se muestra en verde.
Harry Sintonen, quien descubrió la vulnerabilidad, afirma que
la cuestión es muy crítica, porque "fácilmente se pueden
robar las credenciales de los usuarios," a pesar de que la
dirección visitada comienza con HTTPS: (que indica un
protocolo seguro).
Durante años hemos estado alertando que al visitar un sitio
de transacciones comerciales, se prestara atención a ese
detalle. El mismo PayPal insiste con ello en su página, para
evitar que los usuarios sean estafados por sitios falsos. Sin
embargo, en este caso, el sitio es el original, la dirección
es segura, se muestra como segura, y así debería serlo.
La vulnerabilidad es más grave que otras similares, por el
hecho de que las páginas afectadas utilizan una extensión de
la validación SSL, y además, gracias a los certificados EV,
la barra de direcciones permanece verde, lo que indica que el
sitio y su contenido es seguro, y pertenece a PayPal, lo que
hace que los visitantes no sospechen nada
El problema es que mediante la vulnerabilidad descubierta,
aún estando en la página original, alguien podría robar toda
nuestra información cuando hacemos alguna transacción.
Si bien los certificados SSL proporcionan un gran nivel de
fiabilidad cuando se trata de confirmar la propiedad del
sitio, no pueden garantizar que un sitio esté libre de otros
problemas de seguridad, incluyendo un Cross-Site-Scripting
como en este caso. Este tipo de fallo, permite eludir las
restricciones para ejecutar scripts (archivos de comandos),
en ventanas pertenecientes a diferentes dominios.
Existe la preocupación de que los atacantes pueden aprovechar
este malentendido en la importancia de la barra de
direcciones de color verde para su propio beneficio,
desacreditando la confianza inculcada por los certificados de
Validación Extendida, tecnología anti-phishing fuertemente
defendida por PayPal, tanto como para desaconsejar el uso de
navegadores que no la soportan.
La vulnerabilidad viene a la luz, apenas un mes después que
PayPal publicara en su blog, un enfoque práctico para la
gestión del "phishing", que ensalza como medida de
prevención, el uso de estos certificados. Allí, PayPal
describe a los navegadores que no soportan certificados EV
como "inseguros", anunciando además que bloqueará el acceso
al sitio a los mismos.
Los usuarios deben ser conscientes de que ahora, una barra de
direcciones de color verde, o un protocolo HTTPS, no
garantiza el origen del contenido de una página si existe una
vulnerabilidad como la ahora reportada.
Al momento de publicarse esta noticia, no hay comentarios de
PayPal sobre este tema.
* Referencias:
PayPal XSS Vulnerability Undermines EV SSL Security
http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html
Fuente: http://www.vsantivirus.com/17-05-08.htm
[email protected]
Según reporta Netcraft, compañía que brinda servicios de
seguridad en Internet, un investigador finlandés descubrió
una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en
PayPal.com, que permite a un atacante agregar su propio
contenido al sitio, y de ese modo robar las credenciales de
los usuarios que accedan a él.
PayPal.com, el popular sitio de pagos vía Internet, es una de
las primeras compañías que adoptó certificados EV (Extended
Validation o Validación Extendida). Internet Explorer, desde
su versión 7, Firefox y Opera, incluyen soporte para los
mismos. Cuando los sitios EV presentan el certificado, la
barra de direcciones del navegador se muestra en verde.
Harry Sintonen, quien descubrió la vulnerabilidad, afirma que
la cuestión es muy crítica, porque "fácilmente se pueden
robar las credenciales de los usuarios," a pesar de que la
dirección visitada comienza con HTTPS: (que indica un
protocolo seguro).
Durante años hemos estado alertando que al visitar un sitio
de transacciones comerciales, se prestara atención a ese
detalle. El mismo PayPal insiste con ello en su página, para
evitar que los usuarios sean estafados por sitios falsos. Sin
embargo, en este caso, el sitio es el original, la dirección
es segura, se muestra como segura, y así debería serlo.
La vulnerabilidad es más grave que otras similares, por el
hecho de que las páginas afectadas utilizan una extensión de
la validación SSL, y además, gracias a los certificados EV,
la barra de direcciones permanece verde, lo que indica que el
sitio y su contenido es seguro, y pertenece a PayPal, lo que
hace que los visitantes no sospechen nada
El problema es que mediante la vulnerabilidad descubierta,
aún estando en la página original, alguien podría robar toda
nuestra información cuando hacemos alguna transacción.
Si bien los certificados SSL proporcionan un gran nivel de
fiabilidad cuando se trata de confirmar la propiedad del
sitio, no pueden garantizar que un sitio esté libre de otros
problemas de seguridad, incluyendo un Cross-Site-Scripting
como en este caso. Este tipo de fallo, permite eludir las
restricciones para ejecutar scripts (archivos de comandos),
en ventanas pertenecientes a diferentes dominios.
Existe la preocupación de que los atacantes pueden aprovechar
este malentendido en la importancia de la barra de
direcciones de color verde para su propio beneficio,
desacreditando la confianza inculcada por los certificados de
Validación Extendida, tecnología anti-phishing fuertemente
defendida por PayPal, tanto como para desaconsejar el uso de
navegadores que no la soportan.
La vulnerabilidad viene a la luz, apenas un mes después que
PayPal publicara en su blog, un enfoque práctico para la
gestión del "phishing", que ensalza como medida de
prevención, el uso de estos certificados. Allí, PayPal
describe a los navegadores que no soportan certificados EV
como "inseguros", anunciando además que bloqueará el acceso
al sitio a los mismos.
Los usuarios deben ser conscientes de que ahora, una barra de
direcciones de color verde, o un protocolo HTTPS, no
garantiza el origen del contenido de una página si existe una
vulnerabilidad como la ahora reportada.
Al momento de publicarse esta noticia, no hay comentarios de
PayPal sobre este tema.
* Referencias:
PayPal XSS Vulnerability Undermines EV SSL Security
http://news.netcraft.com/archives/2008/05/16/paypal_xss_vulnerability_undermines_ev_ssl_security.html
Fuente: http://www.vsantivirus.com/17-05-08.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!