Большинство Wap шлюзов неверно проверяет SSL сертификаты

Найдена уязвимость в наиболее используемых в настоящее время Wap шлюзов, вызванная неправильной проверкой SSL сертификатов. Если эти сертификаты (они используются когда HTTPS, SSL включены) недопустимы, пользователю не выдается никакого предупреждения. Это позволяет нападавшим фальсифицировать “допустимый” сертификат, позволяющий ему ввести в заблуждение wap пользователей в раскрытие чувствительной информации.

Уязвимость работает в

* CMG (в следующем обновлении эта проблема будет решена)

* Openwave(Phone.com) – уязвим по умолчанию, но данная проблема может быть устранена правильной настройкой системы.

* Nokia (на HP/UX) – не уязвим.

Для проверки вашего шлюза на уязвимость зайдите на следующий URL:

http://wap.z-y-g-o.com/cgi-bin/gateway_test