Specjaliści ds. bezpieczeństwa odkryli słabość w stosowanym w Internecie systemie certyfikatów jednoznacznie identyfikujących pewną jednostkę (na przykład osobę, lub komputer) oraz pozwalający stwierdzić, czy ta jednostka, która się nim legitymuje jest rzeczywiście tym, za kogo się podaje.

Wyposażeni w 200 konsol PlayStation 3 naukowcy są w stanie stworzyć certyfikat SSL (Secure Socket Layer) dla dowolnie wybranej przez siebie strony internetowej.

Sfałszowany certyfikat jest prawidłowo odczytywany przez większość popularnych przeglądarek internetowych.

Zaprezentowana przez specjalistów metoda może zostać wykorzystana przez cyberprzestępców starających się przeprowadzić atak typu phishing, tworząc fałszywe strony bankowe czy inne związane z usługami finansowymi.

Atak wykorzystuje znaną słabość w kryptograficznej funkcji haszującej MD5. Już w 2004 roku naukowcy z Chin zaprezentowali metodę, która pozwalała na wygenerowanie tego samego 128-bitowego skrótu MD5 dla dwóch różnych informacji.

Najnowsze odkrycie to kolejny krok wykorzystujący słabość MD5.

Jacob Appelbaum, jeden z naukowców, który zaprezentował nową metodę ataku, uważa, iż producenci przeglądarek internetowych powinni zainterweniować w tej kwestii, aby chronić swoich klientów przed atakami.

Applebaum proponuje rezygnację z wykorzystywania MD5, stworzenie czarnej listy fałszywych certyfikatów a także zainteresowanie się funkcją skrótu SHA-2 (Secure Hash Algorithm) oraz SHA-3 (gdy będzie gotowy).