به گزارش سافت گذر به نقل ازمجله شبکه؛ سوء
استفاده از اسکیمای رمزنگاری HTTPS به این شکل انجام میشود که محتوای
مخرب در قالب یک فایل جاوااسکرپیت در پسزمینه تبلیغات اینترنتی یا بهطور
مستقیم درون یک صفحه وب پنهان گشته و کاربران را فریب میدهد. متی ونهاف و
تام ون گوتن دو دانشجوی مقطع دکترای دانشگاه لوون بلژیک، موفق شدهاند این
چنین حملهای را شبیهسازی کرده و آنرا HESIT نامگذاری کنند.
این
حمله به منظور بهرهبرداری از آسیبپذیریهای موجود در پروتکلهای شبکه
بدون آنکه یک ترافیک واقعی به شبکه وارد شود، به مرحله اجرا درآمده است.
نتایج یافتههای این دو کارشناس امنیتی در کنفرانس کلاه سیاه که هفته گذشته
در ایالات متحده برگزار شد، در معرض دید همگان قرار گرفت. این تحقیق نشان
داد، چگونه یک حمله کانال جانبی (side channel) این قابلیت را دارد تا روی
پاسخهایی که در سطح پروتکل TCP فرستاده میشود، اثرگذار باشد. بهطوری که
به واسطه آن یک پیام متنی ساده دریافت شود. این دو پژوهشگر در این ارتباط
گفتهاند: «حملات مبتنی بر فشردهسازی (Compression-based) همچون CRIME و
BREACH اکنون این پتانسیل را دارند تا از طریق هر سایت یا اسکرپیت آلودهای
تنها در یک مرورگر به مرحله اجرا درآیند، بی آنکه هکر نیازی داشته باشد
تا به ترافیک شبکه دست پیدا کند.» این تکنیک باعث میشود تا هکر بدون نیاز
به پیادهسازی یک حمله Man in the middle کاربران را از طریق یک سایت
آلوده قربانی ساخته و اطلاعات حساس را با نفوذ به سرویسها و سایتها از
هدفهای مشخصی ربایش کند.