مهاجمان با استفاده از کدهای SSL / TLS و نوشتن چند اسکریپت قادر به رمزگشایی و سرقت اطلاعات حساس کاربران میشوند.
به گزارش گرداب؛ بهتازگی محققان روش جدیدی از حمله را موردبررسی خود قرار دادهاند که مهاجمان با استفاده از کدهای SSL / TLS، موفق به افشای اطلاعات موجود در ایمیلهای رمزگذاری شده و دیگر اطلاعات حساس کاربران میشوند.
بهرهبرداری از طرح رمزنگاری HTTPS، کاربران را قادر میسازد که با استفاده از فایلهای ایجاد شده جاوا اسکریپت، درخواستهای خود را بهطور مستقیم به سامانه مورد هدف ارائه دهند. بررسیهای محققان نشان میدهد که از این حمله در زیرساختها بهعنوان HEIST نامبرده میشود که توسعهدهندگان را قادر به بهرهبرداری از این طرح بدون نیاز به ایجاد نویز در ترافیک واقعی میکند.
بهطور خاص بررسیها نشاندهنده این است که مهاجم با استفاده از راهاندازی یک حمله سمت کانال موردنظر و دریافت پاسخ در سطح TCP قادر به تحت تأثیر قرار دادن سیستم با استفاده از یک پیام متنی هستند، کارشناسان امنیتی معتقدند که حملات صورت گرفته با استفاده از مرورگر توسط مهاجم اجراشده و در این میان با اجرای اسکریپتهای نوشتهشده، و ارسال به سامانه مورد نظر بدون نیاز به دسترسی شبکه سامانه، مورد هدف قرارگرفته میشود. این در حالی است که مهاجم با استفاده از حمله مردمیانی فعالیت مخرب خود را پیش میبرد و نتیجه این حملات زنجیرهوار به این صورت است که مهاجم با استفاده از سرقت اطلاعات حساس پس از نفوذ به وبسایت موردنظر قادر به تغییر اطلاعات کاربران در وبسایتها هستند.