CyberPatrol, el software para el control de contenidos durante la navegación por Internet, permite registrar el programa a través de un formulario que incluye en su versión de demostración. Los datos recogidos para proceder al pago y registro de la aplicación son enviados a su servidor en texto claro, con la excepción del número de tarjeta de crédito, que intentan proteger en vano con un simple cifrado por sustitución fácil de invertir.
En vez de utilizar una sesión segura para el envio de información a su servidor, SSL por ejemplo, CyberPatrol utiliza el método POST a través de una conexión HTTP normal, con lo que los datos viajan por la Red sin ninguna protección.
La información facilitada por parte del usuario en el registro, tal como dirección de correo, domicilio, o la fecha de expiración de la tarjeta, viaja sin ningún tipo de cifrado, al alcance de cualquiera que intercepte la comunicación. En el caso del número de la tarjeta de crédito utiliza un sencillo método de sustituci¢n de los d¡gitos por otros caracteres segon la siguiente tabla:
0=z, 1={, 2=x, 3=y, 4=%7E, 5=., 6=|, 7=}, 8=r, 9=sAlguien que intercepte la comunicaci¢n podr realizar la operaci¢n inversa para conseguir el nomero de la tarjeta de cr’dito.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=765
M s informaci¢n:
CyberPatrol
http://www.cyberpatrol.com
Microsys CyberPatrol Insecure Registration Vulnerability
http://www.securityfocus.com/archive/1/146602
Antonio Rom n Arrebola
antonio_roman@hispasec.com
http://www.hispesec.com
