Μια ομάδα ερευνητών αποκάλυψε ένα κενό ασφαλείας το οποίο χρονολογείται από το 1990 αλλά αφήνει ευάλωτες σε επιθέσεις Apple και Google. Το κενό ασφαλείας βαφτίστηκε “Factoring attack on RSA-EXPORT Key” ή εν συντομία FREAK και θέτει σε κίνδυνο όλους όσους χρησιμοποιούν Safari σε Mac και iOS συσκευές ή stock browser του Android, όταν επισκέπτονται συγκεκριμένες ασφαλείς ιστοσελίδες. Ανάμεσα στα websites αυτά είναι NSA.gov, FBI.gov και Whitehouse.gov.
Ενώ αρχικά θεωρήθηκε ότι Apple και Google ήταν μόνο εκτεθειμένες, τελικά φάνηκε ότι κάποιοι χρήστες BlackBerry και της Microsoft βρίσκονται επίσης σε κίνδυνο, και το κενό ασφαλείας επηρεάζει πολλά περισσότερα εκατομμύρια χρηστών απ’ότι φάνηκε αρχικά.
Το “Freak” έχει τις ρίζες του στη δεκαετία του 90 όταν η κυβέρνηση των ΗΠΑ μέσω νομοθεσίας ζητούσε από τις εταιρείες να χρησιμοποιούν πιο αδύναμη 512-bit κρυπτογράφηση για επισκέπτες του εξωτερικού. Προκειμένου να το κάνουν αυτό οι developers του SSL πρωτοκόλλου σχεδίασαν έναν μηχανισμό που θα κάλυπτε και τις δυο κρυπτογραφήσεις. Στη συνέχεια οι ΗΠΑ άλλαξαν τη νομοθεσία, αλλά ήταν πολύ αργά, ο μηχανισμός είχε καταλήξει να χρησιμοποιείται σε διάφορα προϊόντα λογισμικού. Γι αυτό φτάνουμε στο σήμερα όπου εκατομμύρια χρηστών είναι εκτεθειμένα σε υποκλοπές και κυβερνοεπιθέσεις.
Αυτός είναι ο λόγος που κατά τη διάρκεια της έρευνας η ομάδα μπόρεσε να αναγκάσει τους browsers να χρησιμοποιούν πιο αδύναμη κρυπτογράφηση, την οποία μέσα σε 7 ώρες μέλος της ομάδας κατάφερε να σπάσει χρησιμοποιώντας τη δύναμη 75 υπολογιστών. Συγκριτικά, για να σπάσει η 1024-bit κρυπτογράφηση θα χρειαζόταν μια ολόκληρη ομάδα από crackers, η δύναμη εκατομμυρίων PC και διάρκεια περίπου ενός χρόνου.
Οι ερευνητές δεν μπορούν ακόμη να πουν αν κάποιος έχει εκμεταλλευτεί το “ρετρό” κενό ασφαλείας, αλλά απέδειξαν ότι μπορείς να υποκλέψεις τα προσωπικά δεδομένα των χρηστών αλλά και να επιτεθείς στην ίδια την ιστοσελίδα, αρκετά εύκολα.
Apple και Google εργάζονται πάνω στο patch το οποίο θα έρθει στους χρήστες iOS και Mac την επόμενη εβδομάδα. Οι χρήστες Android θα πρέπει να περιμένουν από τους κατασκευαστές και τους παρόχους να φέρουν το update, άρα μέχρι τότε είναι καλύτερο να χρησιμοποιούν Chrome for mobile, το οποίο δεν είναι ευάλωτο σύμφωνα με την The Washington Post.
ΣΥΖΗΤΗΣΗ