Опасная уязвимость из прошлого угрожает миллионам пользователей по всему миру

zombie-key

За последние три дня множество авторитетных источников рассказали о новой масштабной уязвимости под названием FREAK, которая в течение более десяти лет подвергала риску кражи конфиденциальной информации миллионы пользователей по всему миру. Первыми данную уязвимость обнаружили специалисты исследовательских компаний INRIA, Microsoft Research и IMDEA, но более широкую огласку проблема обрела после появления публикации специалиста по безопасности Мэтью Грина из Университета Джона Хопкинса.

Изначально сообщалось, что уязвимость затрагивает пользователей Android, OS X и iOS, которые используют браузеры Chrome или Safari, но, как оказалось, данная проблема не обошла стороной и пользователей платформы Windows.

Уязвимость FREAK – сокращение от фразы «Factoring attack on RSA-EXPORT Keys» – может быть использована злоумышленниками, когда конечный пользователь уязвимого устройства посещает подверженный данной опасности сайт с поддержкой защищенного соединения на базе протокола HTTPS. Даная уязвимость позволяет злоумышленникам организовывать весьма распространенные атаки типа «человек посередине» (man-in-the-middle) и перехватывать любые сообщения между пользователем и ресурсом.

Чтобы вникнуть в суть проблемы, необходимо совершить небольшой экскурс в историю криптографии. В 90-х годах прошлого столетия между американскими властями и исследователями в области безопасности и разработчиками ПО развернулась горячая дискуссия по поводу использования криптографии для обеспечения защиты веб-сайтов. Представители первого лагеря в один голос заявляли о необходимости внедрения шифрования в целях обеспечения конфиденциальности пользовательской информации, тогда как позиция второго лагеря в лице государства была весьма недальновидна – они видели в этом угрозу общественному порядку и правопорядку. В конечном итоге стороны пришли к компромиссу – ограничение длины ключей шифрования на уровне 512 бит для экспортной продукции. На конец прошлого столетия весьма надежный вариант защиты, но в наши дни, учитывая темпы развития компьютерной индустрии, взломать ее не представляет особого труда. Эксплуатируя уязвимость FREAK, можно заставить браузеры использовать слабую защиту. Исследователям Университета Пенсильвании, которые использовали платформу Amazon Web Services, на взлом «экспортной» защиты понадобилось семь часов. В 1999 году запрет был снят, но по каким-то неведомым причинам многие устройства не лишились своей «ахиллесовой пяты».

По информации Washington Post, в течение определенного периода времени уязвимыми были даже сайты АНБ, Белого Дома и ФБР, но немного позже уязвимость устранили.

Сложно сказать насколько часто уязвимость FREAK эксплуатировалась взломщиками. По оценкам специалистов в области безопасности, счет может идти на сотни тысяч и даже сотни миллионов веб-сайтов.

Исследователи создали специальный сайт, который позволяет проверить браузер на предмет наличия уязвимости FREAK, а также посмотреть список сайтов с «ненадежной» репутацией.

Браузер Chrome для Mac уже получил соответствующее обновление, которое предотвращает возможность эксплуатации данной уязвимости, тогда как его «коллега по цеху» в лице версии для Android по-прежнему подвержен данной «хвори». Представители Google уверяют, что патч для мобильных устройств уже разослан производственным партнерам, но поскольку поисковый не может контролировать процесс развертывания обновления, сроки его внедрения пока весьма туманны. Эксперты по кибербезопасности полагают, что этот процесс может длится месяцы, тогда как некоторые и вовсе могут проигнорировать этот вопрос. Компания Apple уже работает над выпуском соответствующего патча для OS X и iOS и обещает выпустить его на следующей неделе. Компания Microsoft пока не ответила на запрос.

Источник: Business Insider, TNW и Ars Technica


  • i2van

    Лучший заголовок на ИТС оф алл таймс!

    • Kirill Dnepropetrovets-Ts

      Таким заголовком можно начинать любой трейлер фильма с пост-апокалипсисом.

  • SHuawei

    где там моя шапочка из фольги завалялась?

  • Apacer

    За заголовок пятерка!

  • Фух, ну хоть из будущего не угрожает. Пока что :-)

    • Kirill Dnepropetrovets-Ts

      Кто сказал, что не угрожает? Просто на данный момент не существует возможности его обнаружить. ;)

  • unk32

    В итоге смартфоны в плане уязвимостей оказались еще хуже ноутбуков: на тех хоть самые свежие драйвера и датированы полугодом до покупки ноутбука, но хоть ОС можно обновить без танцев с бубном. А смартфоны в этом плане просто песня: для устранения уязвимости пройдите по ссылке на магазин и купите новый.

    • Kirill Dnepropetrovets-Ts

      И кроме устройств с iOS на борту, которые Эппл без обновления не оставит. :з

  • Tom K.

    Только на IE 11 пожаловался сайт, хотя Maxton 4.4.3 (тоже на ядре IE 11) нормально себя показал.

    • i2van

      Макстон на Вебките(если молния в строке адреса). Режим Вебкита — по умолчанию.

      В режиме ИЕ (щёлкнуть по молнии в строке адреса) — уязвим .

      • Tom K.

        Даже не знал, я им не пользуюсь, есть просто портейбл версия на компьютере..

  • Дмитрий Баевский

    На Chrome все ок (хотя в статье и так это указано).
    Помимо него еще стоит 2 браузера: Cyberfox и Vivaldi. На них тоже все ок.

  • Kirill Dnepropetrovets-Ts

    В конечном итоге стороны пришли к компромиссу – ограничение длины ключей шифрования на уровне 512 бит для экспортной продукции

    Так разве это компромисс? Если на то время эта защита была достаточной, то тогда американские власти ничего на тот момент не выиграли.

  • Степан

    Проверил даже на старой опере, тех времен когда они не начали менять дизайн и убирать закладки. И она как не странно прошла тест. Есть тогда хотя бы один браузер, который не прошел тест?

  • botulidze

    Ужасно непрофессиональная статья с желтушным заголовком, что она вообще делает на ит ресурсе?