Onderzoekers van Google hebben een lek ontdekt in een oude versie van beveiligingsprotocol SSL waardoor inloggegevens ongemerkt onderschept kunnen worden.

Dat maakten de onderzoekers dinsdagnacht (Nederlandse tijd) bekend (pdf). De aanval die gebruikmaakt van het lek heeft de naam POODLE (Padding Oracle On Downgraded Legacy Encryption) gekregen.

Het gaat om een lek in SSL 3.0, een achttien jaar oude versie van het protocol om verbindingen te beveiligen. Ondanks diverse opvolgers wordt SSL 3.0 nog door veel websites en browsers ondersteund.

Cookies

Dankzij het lek is het voor een hacker mogelijk beveiligd verkeer toch te onderscheppen en uit te lezen. Zo kunnen bepaalde cookies worden buitgemaakt waardoor inloggegevens van bijvoorbeeld sociale media of e-mailaccounts kunnen worden ingezien.

De gebruiker weet van niets want denkt nog steeds van een beveiligde verbinding, te herkennen aan https:// of het groene slotje in de url-balk, gebruik te maken.

POODLE is niet zo serieus als het in april ontdekte Heartbleed waardoor relatief eenvoudig al het versleutelde verkeer kon worden afgetapt.

Misbruik

Toch is de kwetsbaarheid te misbruiken. Hackers moeten wel toegang hebben tot het netwerk waar de gebruiker op zit of moet zelf een malafide wifi-hotspot opzetten waar de gebruiker argeloos gebruik van maakt.

Vervolgens kan de hacker het gebruik van het oude SSL 3.0 afdwingen door de verbinding te laten mislukken. Browsers zullen een mislukte verbinding opnieuw proberen met vaak een oudere versie van SSL.

Als het oude protocol eenmaal wordt gebruikt, is het dus mogelijk over een beveiligde verbinding toch cookies, kleine pakketjes met vaak gevoelige data, te stelen en uit te lezen.

Oplossing

Google gebruikt in browser Chrome sinds februari een methode met de naam TLS_FALLBACK_SCSV die er voor zorgt dat zo’n downgrade niet meer gebeurt, zo schrijft het bedrijf in een blog.

De zoekgigant deelde het lek voor publicatie ook met andere bedrijven waardoor Mozilla nu al laat weten dat SSL 3.0 vanaf Firefox 34 niet meer ondersteund zal worden. De nieuwste variant van de browser komt 25 november uit.

Naast het zeer ernstige lek Heartbleed, dook in september nog Shellshock op waardoor kwaadwillenden op afstand de controle over een pc met OS X of Linux konden overnemen.

Heartbleed: Wat je moet weten over het grootste internetlek ooit

Lees meer over het Shellshock-lek