Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en PayPal, desacredita certificados EV
 
VSantivirus No 2715 Año 11, sábado 17 de mayo de 2008

 Vulnerabilidad en PayPal, desacredita certificados EV
http://www.vsantivirus.com/17-05-08.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Según reporta Netcraft, compañía que brinda servicios de seguridad en Internet, un investigador finlandés descubrió una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en PayPal.com, que permite a un atacante agregar su propio contenido al sitio, y de ese modo robar las credenciales de los usuarios que accedan a él.

PayPal.com, el popular sitio de pagos vía Internet, es una de las primeras compañías que adoptó certificados EV (Extended Validation o Validación Extendida). Internet Explorer, desde su versión 7, Firefox y Opera, incluyen soporte para los mismos. Cuando los sitios EV presentan el certificado, la barra de direcciones del navegador se muestra en verde.

Harry Sintonen, quien descubrió la vulnerabilidad, afirma que la cuestión es muy crítica, porque "fácilmente se pueden robar las credenciales de los usuarios," a pesar de que la dirección visitada comienza con HTTPS: (que indica un protocolo seguro).

Durante años hemos estado alertando que al visitar un sitio de transacciones comerciales, se prestara atención a ese detalle. El mismo PayPal insiste con ello en su página, para evitar que los usuarios sean estafados por sitios falsos. Sin embargo, en este caso, el sitio es el original, la dirección es segura, se muestra como segura, y así debería serlo.

La vulnerabilidad es más grave que otras similares, por el hecho de que las páginas afectadas utilizan una extensión de la validación SSL, y además, gracias a los certificados EV, la barra de direcciones permanece verde, lo que indica que el sitio y su contenido es seguro, y pertenece a PayPal, lo que hace que los visitantes no sospechen nada

El problema es que mediante la vulnerabilidad descubierta, aún estando en la página original, alguien podría robar toda nuestra información cuando hacemos alguna transacción.

Si bien los certificados SSL proporcionan un gran nivel de fiabilidad cuando se trata de confirmar la propiedad del sitio, no pueden garantizar que un sitio esté libre de otros problemas de seguridad, incluyendo un Cross-Site-Scripting como en este caso. Este tipo de fallo, permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Existe la preocupación de que los atacantes pueden aprovechar este malentendido en la importancia de la barra de direcciones de color verde para su propio beneficio, desacreditando la confianza inculcada por los certificados de Validación Extendida, tecnología anti-phishing fuertemente defendida por PayPal, tanto como para desaconsejar el uso de navegadores que no la soportan.

La vulnerabilidad viene a la luz, apenas un mes después que PayPal publicara en su blog, un enfoque práctico para la gestión del "phishing", que ensalza como medida de prevención, el uso de estos certificados. Allí, PayPal describe a los navegadores que no soportan certificados EV como "inseguros", anunciando además que bloqueará el acceso al sitio a los mismos.

Los usuarios deben ser conscientes de que ahora, una barra de direcciones de color verde, o un protocolo HTTPS, no garantiza el origen del contenido de una página si existe una vulnerabilidad como la ahora reportada.

Al momento de publicarse esta noticia, no hay comentarios de PayPal sobre este tema.


Referencias:

PayPal XSS Vulnerability Undermines EV SSL Security
http://tinyurl.com/3evfgp (Netcraft)








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2008 Video Soft BBS