Trojice výzkumníků společnosti Google včera odhalila bug Poodle „Padding Oracle On Downgraded Legacy Encryption“ a tento pudl opět vyděsil správce webů po celém světě.
Zabezpečení SSL 3 je již 15 let staré, a jeho dopad proto není tolik drtivý jako v případě hrozeb Heartbleed nebo Shellshock, nicméně velké množství webů toto zabezpečení stále využívá nebo alespoň dovoluje jeho využití v případě, že není možné využít novější verze.
Protokol SSL chrání komunikaci mezi uživatelem a internetovou stránkou, většina uživatelů jej zná v podobě zeleného indikátoru v příkazovém řádku prohlížeče, který signalizuje, že se nachází v bezpečné zóně HTTPS.
Útočníci mají tedy dvě možnosti, jak zranitelnosti SSL 3 využít. Buď se jim podaří zmanipulovat cílový web, aby umožnil alternativní šifrování pomocí SSL 3. Druhým způsobem je provedení klasického “man in the middle” útoku, například pomocí falešné WiFi sítě v nákupním centru nebo kavárně.
Pokud se uživatelé do bezdrátové sítě útočníka připojí, může pak za využití Poodle chyby získat obsah uživatelovy cookie, ze které může získat například jména a hesla k emailovým účtům, účtům na sociálních sítích nebo přístupové údaje do internetového bankovnictví.
Google vyzval správce sítí, aby podporu staré verze zabezpečení SSL 3 ze svých webů odstranili a nadále nevyužívali. Na rozdíl od zmíněného bugu Heartbleed, který ohrozil dvě třetiny světových webů, z nichž k nápravě řada přistoupila až po měsících po jeho zveřejnění, zabezpečení proti Poodle by mělo být rychlejší.
Google již aktualizací svého prohlížeče Chrome ukončil podporu zabezpečení SSL 3 a předpokládá se, že ho budou v podobě automatické aktualizace následovat i konkurenční prohlížeče Firefox (Mozilla), Internet Explorer (Microsoft) a Safari (Apple).