CRIME (Compression Ratio Info-Leak Made Easy)

Tento útok byl vyvinut ve stejných dílnách jako předchozí BEAST, tentokrát je však aplikovatelný na jakoukoli verzi TLS. Je založen na zneužití kompresních mechanismů použitých v protokolech SSL, TLS a novém SPDY.

[speedy] od Googlu vyvinutý k urychlení http(s) požadavků. Používá kompresi a multiplexing.

CRIME dešifruje HTTPS cookies obdobně jako BEAST. Injektovaný JavaScriptový kód pak nutí prohlížeč odesílat HTTPS požadavky na cílovou stránku a analyzuje změny v jejich délce poté, co byly zkomprimovány. Díky použité komprimační metodě (DEFLATE), která eliminuje duplikáty řetězců, může útočník odhadnout hodnotu uživatelského identifikátoru relace.

Podle autorů stačí díky nadstavbovým algoritmům k uhodnutí jednoho bytu použít 6 požadavků. CRIME ke své funkci navíc ani nepotřebuje JavaScript, který však dokáže proces urychlit.

Útok CRIME byl představen v září 2012. K úspěšnému útoku je potřeba podpora komprese SSL nebo SPDY požadavků jak na straně klienta, tak serveru. Díky tomu je proti němu zcela imunní Internet Explorer, ve Firefoxu byla podpora komprese SPDY odstraněna ve verzi 15 a v adekvátních verzích Chromu taktéž.