CyberPatrol, el software para el control de contenidos durante
la navegación por Internet, permite registrar el programa a través
de un formulario que incluye en su versión de demostración. Los
datos recogidos para proceder al pago y registro de la aplicación
son enviados a su servidor en texto claro, con la excepción del
número de tarjeta de crédito, que intentan proteger en vano con
un simple cifrado por sustitución fácil de invertir.
En vez de utilizar una sesión segura para el envio de información
a su servidor, SSL por ejemplo, CyberPatrol utiliza el método
POST a través de una conexión HTTP normal, con lo que los datos
viajan por la Red sin ninguna protección.
La información facilitada por parte del usuario en el registro,
tal como dirección de correo, domicilio, o la fecha de expiración
de la tarjeta, viaja sin ningún tipo de cifrado, al alcance de
cualquiera que intercepte la comunicación. En el caso del número
de la tarjeta de crédito utiliza un sencillo método de sustitución
de los dígitos por otros caracteres según la siguiente tabla:
0=z, 1={, 2=x, 3=y, 4=%7E, 5=., 6=|, 7=}, 8=r, 9=s
Alguien que intercepte la comunicación podrá realizar la operación
inversa para conseguir el número de la tarjeta de crédito.
antonio_roman@hispasec.com
Más información:
CyberPatrol
http://www.cyberpatrol.com
Microsys CyberPatrol Insecure Registration Vulnerability
http://www.securityfocus.com/archive/1/146602
Deja una respuesta