Investigadores han descubierto que, cuando la información es enviada sobre una conexión cifrada HTTPS que previamente ha sido comprimida, abre la oportunidad a los atacantes que modifican el tráfico de datos en una manera específica para ser capaces de romper el cifrado.

La compresión es soportada por al menos la mitad de los servidores web incluyendo organizaciones importantes como Google y Twitter, sin embargo, los desarrolladores de navegadores ya han reaccionado desactivando las funciones adicionales que permiten esta vulnerabilidad.

Los investigadores en Seguridad Juliano Rizzo y Thai Duong tenían originalmente planeado presentar una muestra detallada de su nuevo ataque conocido como CRIME la siguiente semana, sin embargo, ahora todas sus cartas se encuentran sobre la mesa. CRIME está basado en un problema que John Kelsey de Certicom describió en 2002 dentro de un documento titulado Compresión y fuga de información en texto plano(PDF).

Cuando un servidor y un cliente usan el algoritmo de compresión deflate para TLS; o el más reciente protocolo SPDY, algún atacante "en medio" puede extraer las cookies de la sesión y usarlas para comprometer la sesión cifrada. Los investigadores han demostrado esta técnica en un vídeo utilizando como blancos Dropbox y GitHub. Una prueba sencilla del concepto ha sido previamente publicada.

Pero no todo es tan malo como parece, como explica Ivan Ristic de Qualsys en su análisis del problema, solo Chrome soporta la compresión TLS y el equipo que lo desarrolla ya ha deshabilitado esta función en la ultima versión. El más reciente SPDY es soportado por Firefox, Chrome y la mayoría de los navegadores, sin emabrgo, de acuerdo con Qualsys, solo el 0.8 porciento de los sitios web se ven afectados. Los usuarios de Internet Explorer, Opera y Safari pueden despreocuparse y relajarse, sus navegadores no soportan estas capacidades adicionales, aun navegadores para teléfonos inteligentes y otros servicios que usan TLS para cifrar podrían resultar con problemas.