За последние три дня множество авторитетных источников рассказали о новой масштабной уязвимости под названием FREAK, которая в течение более десяти лет подвергала риску кражи конфиденциальной информации миллионы пользователей по всему миру. Первыми данную уязвимость обнаружили специалисты исследовательских компаний INRIA, Microsoft Research и IMDEA, но более широкую огласку проблема обрела после появления публикации специалиста по безопасности Мэтью Грина из Университета Джона Хопкинса.
Изначально сообщалось, что уязвимость затрагивает пользователей Android, OS X и iOS, которые используют браузеры Chrome или Safari, но, как оказалось, данная проблема не обошла стороной и пользователей платформы Windows.
Уязвимость FREAK – сокращение от фразы «Factoring attack on RSA-EXPORT Keys» – может быть использована злоумышленниками, когда конечный пользователь уязвимого устройства посещает подверженный данной опасности сайт с поддержкой защищенного соединения на базе протокола HTTPS. Даная уязвимость позволяет злоумышленникам организовывать весьма распространенные атаки типа «человек посередине» (man-in-the-middle) и перехватывать любые сообщения между пользователем и ресурсом.
Чтобы вникнуть в суть проблемы, необходимо совершить небольшой экскурс в историю криптографии. В 90-х годах прошлого столетия между американскими властями и исследователями в области безопасности и разработчиками ПО развернулась горячая дискуссия по поводу использования криптографии для обеспечения защиты веб-сайтов. Представители первого лагеря в один голос заявляли о необходимости внедрения шифрования в целях обеспечения конфиденциальности пользовательской информации, тогда как позиция второго лагеря в лице государства была весьма недальновидна – они видели в этом угрозу общественному порядку и правопорядку. В конечном итоге стороны пришли к компромиссу – ограничение длины ключей шифрования на уровне 512 бит для экспортной продукции. На конец прошлого столетия весьма надежный вариант защиты, но в наши дни, учитывая темпы развития компьютерной индустрии, взломать ее не представляет особого труда. Эксплуатируя уязвимость FREAK, можно заставить браузеры использовать слабую защиту. Исследователям Университета Пенсильвании, которые использовали платформу Amazon Web Services, на взлом «экспортной» защиты понадобилось семь часов. В 1999 году запрет был снят, но по каким-то неведомым причинам многие устройства не лишились своей «ахиллесовой пяты».
По информации Washington Post, в течение определенного периода времени уязвимыми были даже сайты АНБ, Белого Дома и ФБР, но немного позже уязвимость устранили.
Сложно сказать насколько часто уязвимость FREAK эксплуатировалась взломщиками. По оценкам специалистов в области безопасности, счет может идти на сотни тысяч и даже сотни миллионов веб-сайтов.
Исследователи создали специальный сайт, который позволяет проверить браузер на предмет наличия уязвимости FREAK, а также посмотреть список сайтов с «ненадежной» репутацией.
Браузер Chrome для Mac уже получил соответствующее обновление, которое предотвращает возможность эксплуатации данной уязвимости, тогда как его «коллега по цеху» в лице версии для Android по-прежнему подвержен данной «хвори». Представители Google уверяют, что патч для мобильных устройств уже разослан производственным партнерам, но поскольку поисковый не может контролировать процесс развертывания обновления, сроки его внедрения пока весьма туманны. Эксперты по кибербезопасности полагают, что этот процесс может длится месяцы, тогда как некоторые и вовсе могут проигнорировать этот вопрос. Компания Apple уже работает над выпуском соответствующего патча для OS X и iOS и обещает выпустить его на следующей неделе. Компания Microsoft пока не ответила на запрос.
Источник: Business Insider, TNW и Ars Technica