Drużyna kryptografów odkryła dziurę w zabezpieczeniach, która istnieje od lat 90. i sprawia, że do dziś jesteśmy przez nią narażeni na cyber ataki. Nazwano ją „Factoring attack on RSA-EXPORT Key” w skrócie FREAK. Na baczności muszą się mieć użytkownicy przeglądarki Safari na iOS oraz systemowej przeglądarki systemu Android. Ofiarami ataku możemy stać się wtedy, kiedy odwiedzimy dotknięte problemem strony Internetowe. Badacze postanowili zrobić ich listę. Najciekawszymi przykładami są strony WhiteHouse.gov, NSA.gov i FBI.gov. Aby zrozumieć działanie FREAK, musimy przenieść się do lat 90., kiedy powstawał certyfikat SSL.

Wygląda na to, że rząd USA zmusił firmy do wykorzystania 512-bitowego szyfrowania dla wszystkich odwiedzających ich strony z za oceanu, a znacznie mocniejszego, dla amerykanów. Aby tego dokonać, osoby odpowiedzialne za tworzenie SSL zaprojektowały mechanizm, który zapewnił możliwość wykorzystania obu szyfrowań. Kiedy rząd wycofał ten wymóg było już za późno; mechanizm zdążył rozprzestrzenić się. To dlatego w trakcie badań, kryptolodzy potrafili zmusić przeglądarkę do wykorzystania słabszego szyfrowania, które zostało złamane w ciągu 7 godzin przez jednego z członków zespołu. Żeby tego dokonać, wykorzystał on moc 75 komputerów. Dla porównania, 1024-bitowe szyfrowanie wymagałoby zespołu hackerów mającego dostęp do mocy kilku milionów komputerów. Nawet wtedy pokonanie zabezpieczeń zajęłoby rok.

Dziwny rodzaj „szyfrowania zmiennego” miał w teorii zapewnić NSA bezproblemowy wgląd do komunikacji na stronach, rzekomo zapewniając zabezpieczenia, które były wystarczająco dobre do użytku komercyjnego. Nieczysta zagrywka NSA z roku 1990 może zbierać swoje żniwa aż do dziś. Badacze nie wiedzą czy ktoś wykorzystał już tę lukę, ale udowodnili, że może ona posłużyć do wykradnięcia danych wszystkich użytkowników Safari i systemowej przeglądarki Androida. Wystarczy, że odwiedzą oni felerny adres. Apple i Google pracują już nad odpowiednią łatką do swoich przeglądarek. Użytkownicy iOS i Maców będą bezpieczni już w następnym tygodniu. Właściciele urządzeń z Androidem poczekają aż producenci wprowadzą odpowiedni update, co pewnie potrwa… Póki co lepiej przerzucić się na Chrome’a, który nie jest dotknięty problem.

Źródło: engadget.com, Zdjęcia: androidauthority

Kolejny artykuł znajdziesz poniżej