A Mozilla lançou uma atualização para o Firefox 37 com o único intuito de remover um novo recurso de segurança do navegador. O Firefox 37.0.1 não tem mais a função de “criptografia oportunista”, que permitia ao Firefox estabelecer uma comunicação mais segura com sites que tenham suporte.

A criptografia oportunista (CO) é menos segura do que aquela empregada por sites seguros (HTTPS), que exibem o já conhecido “cadeado” no navegador. O objetivo da CO é fornecer uma criptografia mais simples, porém não autenticada.

Em termos simples, a criptografia oportunista não verifica se o site que você está acessando é realmente o site verdadeiro. Essa checagem acontece no HTTPS por meio do certificado digital usado pelo site. O certificado digital é assinado por uma autoridade certificadora, que age como “cartório” e garante a identidade do site.

A CO não exige um certificado assinado e, por isso, não há qualquer garantia de que o site visitado não foi redirecionado. Ela, porém, é “melhor do que nada”.

O problema, no entanto, é que o Firefox passa a não verificar mais assinaturas de certificado para o “serviço alternativo”. O “serviço alternativo” é o servidor de onde o site “semisseguro” será baixado.

Na prática, um hacker poderia criar um site e especificar o endereço seguro (HTTPS) como “serviço alternativo”. Quando o usuário acessasse esse site HTTPS, a validação do certificado digital não seria feita.

Em um ataque real, isso poderia ser feito em uma rede sem fio pública, por exemplo. Um criminoso poderia criar um redirecionamento para o site de um banco e depois redirecionar até as páginas seguras do internet banking usando um certificado falso e o Firefox não iria alertar que o certificado digital não é válido e que não há garantia de que o site visitado é mesmo do banco.

A falha foi relatada à Mozilla por Muneaki Nishimura.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.