FREAK - серьезная угроза для Android, iOS и Mac OS X

Если вы пользуетесь браузером на гаджете под управлением Android, iOS и Mac OS X – знайте, что за вами могут следить, а ваши личные данные могут быть похищены. Все дело в уязвимости FREAK, которую обнаружили криптографы исследовательских компаний INRIA, Microsoft Research и IMDEA. Суть изъяна заключается в том, что злоумышленники могут заставить браузер использовать более слабую систему шифрования. Тогда взлом ПО будет делом нескольких часов, а у хакеров появится полный доступ к браузеру: от личных данных до возможности лайкать посты в Facebook.

Возникновение FREAK уходит своими корнями в 90-е года прошлого века. Тогда компания Netscape внедрила в свой браузер алгоритм шифрования, что вызвало обеспокоенность властей США. Технологическим компаниям выдвинули требование при экспортировании продуктов оставлять в своих алгоритмах шифровки лазейку, которой могли бы воспользоваться спецслужбы для слежения при необходимости за жителями других стран. Несмотря на то, что данное требование перестало действовать в конце 20 века, более слабые защитные механизмы были интегрированы во множество самых различных программ. По словам источника, такое шифрование использует ключи длиной 512 бит, хотя сейчас принято 1024-битное шифрование и выше. Эксперты заявляют, что такой ключ можно взломать за 7 часов при использовании мощности 75 компьютеров или облачного сервиса Amazon Web Services, аренда которого стоит около $100.

За счет ошибки в браузерах, использующих протоколы OpenSSL или SecureTransport, хакеры могут заставить соединение проходить через более слабое шифрование. Как раз такие протоколы используют браузеры Android, iOS и Mac OS X. Если вас серьезно взволновала данная проблема, в Сети есть сайт, на котором вы можете проверить свой браузер на уязвимость перед FREAK. Также там есть перечень страниц, соединение с которыми может прослеживаться (к примеру, lg.com, miui.com, vesti.ru, russia.tv).

Ранее издание Washington Post сообщало, что определенный период времени уязвимыми были даже сайты ФБР, Белого дома и Агентства национальной безопасности США. После обнародования информации о FREAK компания Apple пообещала выпустить соответствующий патч, повышающий защищенность систем Mac OS X и iOS (релиз должен состояться на следующей неделе), а Facebook изменил алгоритм шифровки и убрал уязвимость. Что касается Google, браузер Chrome и страница поисковика не подвержены атаке FREAK, а вот встроенный браузер Android – да. По словам представителей Google, патч, исправляющий уязвимость, уже выпущен и отправлен производителям смартфонов под управлением Android, но когда он будет внедрен – неизвестно.

Кстати, недавно с помощью данной уязвимости была совершена атака на сайт АНБ США. Получается, что спецслужбы США стали жертвами хитрости властей страны. Недавно американские и европейские политики обсуждали возможность внедрения новых криптографических лазеек в современные системы. Из этого может последовать лишь один вывод – западные политики не спешат учиться на своих ошибках.