Le potenziali insicurezza della tecnologia SSL (Secure Socket Layer) rappresentano un grosso problema per le comunicazioni telematiche fuori dal browser, e in questo caso non si parla solo di banali app per Android ma di un gran numero di software di importanza critica responsabili del trasferimento dati in rete.
A identificare l’ennesima, problematica insicurezza di SSL sono due ricercatori statunitensi (University of Texas di Austin e Stanford University), che arrivano a definire la validazione dei certificati SSL nel software fuori dal browser web come il più pericoloso codice del mondo .
Client di instante messaging, applicazioni business che si interfacciano alle reti di e-payment di PayPal e Amazon, il numero e la qualità dei programmi affetti dal problema sono a dir poco preoccupanti. E non si tratta (almeno, non soltanto) del codice scritto per i suddetti software, dicono i ricercatori: il problema sono le librerie standard usate per implementare le comunicazioni SSL.
JSSE, OpenSSL oppure GnuTLS, niente si salva dal difetto strutturale di complicare la vita al programmatore offrendo API con un design pessimo e una scelta di opzioni confusa. Il risultato è sempre lo stesso: i programmatori implementano la validazione dei certificati SSL in maniera errata o comunque potenzialmente vulnerabili a pericolosi attacchi di tipo man-in-the-middle.
Per provare la loro teoria, i ricercatori sono riusciti a far accettare dai software in oggetto tre diverse tipologie di certificati fasulli: un certificato auto-firmato con il nome corretto, un certificato auto-firmato con un nome casuale e uno proveniente da un’autorità valida ma concesso al dominio errato (“AllYourSSLAreBelongto.us”). La soluzione a questo ennesimo problema è evidente, dicono gli esperti: fornire ai programmatori librerie e interfacce più chiare e con funzionalità di log degli errori maggiormente consistenti.
Alfonso Maruccia