Новости

«Доктор Веб»: об опасности использования банковских приложений на базе протокола SSL v.2

17.02.2017
«Доктор Веб»: об опасности использования банковских приложений на базе протокола SSL v.2

16.02.2017 компания «Доктор Веб» опубликовала разъяснение об опасности использования протокола SSL v.2 при проведении банковских операций. Опасность заключается в возможности проведения атаки типа «человек посередине» (MITM-атаки) и атаки, позволяющей изменить ход передачи данных. Используемый в SSL v.2 алгоритм хэширования MD5 на данный момент также скомпрометирован и не рекомендуется к использованию.

Протокол SSL v.2 был официально переведен в разряд устаревших в 2011 году в соответствии с технической спецификацией RFC 6176. В последующей версии протокола (SSL v.3) также была обнаружена уязвимость (CVE-2014-3566).

Как стало известно специалистам компании, приложения «банк-клиент» некоторых российских банков продолжают использовать небезопасный протокол SSL v.2.

Компания «Доктор Веб» рекомендует пользователям уточнить в службе поддержки банка, какую версию протокола использует приложение «банк-клиент». В случае использования протоколов SSL v.2 или SSL v.3 специалисты компании рекомендуют отказаться от использования таких приложений.

Рекомендуемыми протоколами на данный момент являются протоколы TLS v.1 и выше.