Três investigadores do Google confirmaram a existência de um bug no protocolo Secure Socket Layer (SSL), na versão 3.0, uma tecnologia utilizada para garantir a segurança de dados encriptados na Internet. A falha detectada torna esses dados vulneráveis e acessíveis a hackers. O Google chama-lhe o ataque Poodle.

Num relatório publicado em Setembro deste ano no site OpenSSL Project, Bodo Möller, Thai Duong e Krzysztof Kotowicz, três investigadores da equipa de segurança do Google, afirmavam que o SSL 3.0 era um “protocolo obsoleto e inseguro”.

As suas conclusões foram agora divulgadas numa nota publicada no blogue sobre segurança do motor de busca. Aqui, o trio fala numa “vulnerabilidade” no design do SSL versão 3.0, que permite que os dados encriptados de ligações até agora seguras, entre utilizadores e servidores, sejam acedidos por hackers, que por sua vez roubam cookies HTTP. Os cookies são pequenos ficheiros colocados pelos sites nos computadores dos utilizadores e que permitem registar informação para ser lida em visitas posteriores a essas mesmas páginas online.

Caso sejam bem-sucedidos, os hackers tomam o controlo dos cookies nos browsers e acedem a contas de email, redes sociais ou ainda instituições bancárias que utilizem o SSL 0.3.

Segundo os investigadores, o utilizador começa por ser forçado a realizar um downgrade do SSL 3.0, porque o protocolo TLS (Transport Layer Security), que é mais seguro, não pode ser usado. Ao fazê-lo, o utilizador abre caminho para o acesso ilegal aos cookies HTTP encriptados. Os hackers acabam por descodificar a informação e utilizar os dados.

A única forma de garantir a segurança dos dados dos utilizadores e os servidores é que estes deixem de utilizar o SSL 3.0 e passem a recorrer ao protocolo TLS.

Quem utiliza o Google Chrome tem os seus dados seguros. Segundo a equipa de segurança do Google, o Google Chrome e os servidores do motor de busca usam o TLS desde Fevereiro. No entanto, vão ser iniciados testes para garantir que não há nenhum regresso ao SSL.