conexión SSL MITM

2

Leí este artículo sobre un MITM de SSL.

Estoy tratando de entender este ataque. Esta puede ser una pregunta ingenua.

Entiendo que WebView envía una solicitud al nombre de dominio, el servidor envía un certificado X.509, que en este caso no es un certificado SSL válido, ya que el atacante ya podría haber redirigido la solicitud a su propio servidor. WebView no pudo identificar esto y aceptó la conexión SSL con la clave pública enviada y ahora está aceptando el código del servidor del atacante.

Quiero saber si la explicación anterior es correcta, dados los detalles del artículo.

Gracias.

    
pregunta Jake 28.04.2014 - 01:17
fuente

1 respuesta

1

Desde el artículo, sí, es básicamente correcto.

Sin embargo, lo explicaría de una manera más simple: el cliente no verifica correctamente el certificado del servidor. Esto significa que no comprueba con qué servidor está hablando y, por lo tanto, cualquier persona podría hacerse pasar por ese servidor.

Se describe una segunda vulnerabilidad que hace que la primera sea aún más grave: el cliente ejecutará felizmente el código javascript enviado por el servidor. Dado que el servidor no está verificado, significa que cualquier persona que pueda hacer proxy o redirigir al cliente a la IP de su elección podrá ejecutar javascript en el cliente en el contexto de la aplicación paypal. Y dado que la aplicación de PayPal también almacena información importante relacionada con la cuenta del propietario en sus preferencias, puede usarse casi directamente para robar dinero de la cuenta de PayPal en cuestión.

    
respondido por el Stephane 28.04.2014 - 10:07
fuente

Lea otras preguntas en las etiquetas