Belgische onderzoekers vinden lek in beveiligde HTTPS-verbindingen

Informatie die via beveiligde HTTPS-verbindingen wordt verstuurd, is mogelijk door hackers te onderscheppen. Belgische onderzoekers hebben een nieuw lek gevonden in de veelgebruikte internetstandaard.

Details over het zogenoemde HEIST-lek worden gepresenteerd op de hackersconferentie Black Hat, meldt Ars Technica donderdag.

In tegenstelling tot verschillende eerdere lekken is er geen 'man in the middle'-aanval nodig om de nieuwe kwetsbaarheid te misbruiken. De hacker hoeft dus niet de volledige controle te hebben over het internetverkeer, bijvoorbeeld via een onbeveiligde wifi-hotspot.

In plaats daarvan kan het lek worden misbruikt door een stukje code in een willekeurige website te injecteren. Dat zou bijvoorbeeld kunnen gebeuren via een malafide advertentie. "HEIST maakt verschillende aanvallen veel makkelijker uitvoerbaar", zegt onderzoeker Tom van Goethem van de KU Leuven.

De exacte gevolgen van het lek zijn nog onduidelijk. Omdat de details pas net bekend zijn, is hier nog geen misbruik van gemaakt. Ook zijn grote techbedrijven als Google en Microsoft al ingelicht over het probleem, zodat zij voorzorgsmaatregelen kunnen nemen.

Gebruikers kunnen zichzelf nu al beschermen door het plaatsen van cookies door derden uit te schakelen in hun browser. Sommige websites werken echter niet als zulke cookies niet worden toegestaan.