Due ricercatori tedeschi della Ruhr University di Bochum, Juraj Somorovsky e Tibor Jager, hanno scoperto una vulnerabilità nella crittografia XML che potrebbe essere sfruttata per sottrarre informazioni riservate durante le transazioni con i servizi web più diffusi.
La crittografia dei documenti XML avviene mediante gli standard approvati dal Consorzio World Wide Web (W3C), ovvero usando gli algoritmi DES (Data Encryption Standard) o AES (Advanced Encryption Standard) nella modalità CBC (Cipher Block Chaining). Tutte le principali aziende del mondo utilizzano questo metodo per cifrare le comunicazioni con i server su cui sono in esecuzione i propri servizi web, il che pone in evidenza quanto pericolosa possa essere pertanto simile vulnerabilità.
La crittografia XML è stata progettata per garantire la riservatezza delle transazioni, ma i due ricercatori sono riusciti a violare lo standard inviando testi cifrati modificati ai server. Dalle informazioni presenti nei messaggi di errore ricevuti, è stato possibile decifrare i dati. L’attacco ha avuto successo sia contro una popolare implementazione open source dello standard, sia contro i server di note aziende. In tutti i casi, il risultato è stato lo stesso: la crittografia XML non è sicura.
Microsoft ha già fatto sapere che controllerà i propri prodotti per determinare quali applicazioni usano l’implementazione in questione e fornirà le giuste linee guida agli sviluppatori di software di terze parti. I ricercatori comunque hanno dichiarato che non esiste una semplice soluzione al problema, in quanto è necessaria a monte una modifica allo standard approvato dal W3C. Informazioni più dettagliate sulla vulnerabilità sono state fornite durante la conferenza CCS 2011 e nelle prossime settimane verrà pubblicato un documento che illustrerà alcune possibili contromisure adottabili.