SSL証明書の確認不足で不正なSSL証明書による中間者攻撃の恐れ
Netcraftは銀行、電子商取引、ISP、ソーシャルネットワークを偽装した不正なSSL証明書を複数確認した。これらの不正SSL証明書が中間者攻撃に悪用される恐れがあり、攻撃が成功すると合法なオンラインバンキングが解読されて、再度暗号化されて銀行に送信される。これにより、攻撃者が顧客の認証情報を盗んだり送金していることに気づかないという事態が起こる。
偽の証明書はターゲットのホスト名と同じ名前であるが信頼できる認証局の署名が入っておらず、主要なウェブブラウザでは有効とみなされない。しかし、オンラインバンキングのトラフィック量はアプリや他のウェブブラウザなどからのトラフィックが増えていることから、SSL証明書の適切なチェックが行われない。不正証明書単独では中間者攻撃を行うのには十分ではなく、証明書がターゲットのデバイスとサーバの通信を行うネットワークトラッフィック上にあることが重要で、実際には攻撃者がネットワークとインターネット接続をターゲットと共有又はターゲットとサーバのインターネットシステムにアクセスする必要がある。不正なワイヤレスポイントを設定するのが一番簡単な方法で、これにより攻撃者は簡単にネットワークトラフィックやDNS検索の結果の監視が可能になる。
証明書の確認不足により人気のゲームプラットフォームでの不正証明書が確認されて修復されるまで3か月間傍受可能であった。IO Activeや大学の調査では、サーバからのSSL証明書の信頼性を検証することができないため、40%の iOSベースのバンキングアプリ、41%のAndroidアプリが脆弱であるという結果であった。
