Due ricercatori di sicurezza di PhoneFactor, una società che fornisce sistemi di autenticazione two-factor per i telefoni cellulari, hanno scoperto una seria vulnerabilità nei protocolli crittografici Secure Sockets Layer (SSL) e Transport Layer Security (TLS). Tale falla, secondo i suoi scopritori, potrebbe consentire ad un malintenzionato di iniettare informazioni a propria scelta all'interno di una connessione protetta.

I protocolli SSL 3.0 e TLS 1.0 sono alla base di altri noti protocolli di Internet come HTTPS e IMAP, e proteggono ogni giorno centinaia di milioni di transazioni online: acquisti con carta di credito, sessioni di home banking, accesso a database remoti e, in generale, ogni operazione su Internet che preveda lo scambio di dati sensibili tra client e server.

Scoperta lo scorso agosto da Marsh Ray e Steve Dispensa, e discussa in gran segreto lo scorso settembre con un consorzio costituito da grandi aziende e organizzazioni, la vulnerabilità avrebbe dovuto essere rivelata pubblicamente solo il prossimo anno: ciò per dare il tempo ai produttori di correggere le rispettive implementazioni di SSL/TLS. A sconvolgere questi piani è stato un ricercatore di sicurezza indipendente che, avendo incidentalmente scoperto la falla per proprio conto, lo scorso mercoledì ne ha rivelato l'esistenza su una mailing-list della Internet Engineering Task Force (IETF): una mossa che ha costretto Ray e Dispensa ad "uscire allo scoperto" e rivelare l'esistenza di una task force già impegnata nella risoluzione del problema.