В последнее время мы привыкли к неутешительным новостям в сфере компьютерной безопасности, но новое известие поразило даже видавших виды экспертов. Исследователи крупнейших американских университетов обнаружили опасную уязвимость, которая на протяжении десятилетий подвергала риску хакерских атак миллионы пользователей.
Уязвимость получила название FREAK. Она подвергает риску взлома устройства при посещении предположительно безопасных сайтов, среди них сайты Белого дома, ФБР и даже всесильного Агентства национальной безопасности (АНБ). Исследователи отмечают, что особому риску подвергаются пользователи продукции Apple и Google.
Такое положение дел стало возможным благодаря недальновидной политике властей США. Вплоть до 1999 года, регуляторы запрещали экспорт устройств с сильной криптографической защитой. Компаниям приходилось встраивать более слабый «экспортный» вариант защиты в свою продукцию. После отмены ограничений слабая защита по неизвестной причине продолжила оставаться частью многих устройств.
Эксплуатируя FREAK, эксперты заставили браузеры использовать слабую защиту. Её последующий взлом — вопрос нескольких часов. Дело в том, что «экспортный» вариант криптозащиты основан на ключах шифрования в 512 бит, в 1999 году это был весьма надёжный вариант защиты, но сегодня, учитывая падение цен на вычислительные мощности, она может быть взломана в очень короткое время. Учёные из Университета Пенсильвании смогли взломать «экспортную» защиту за семь часов, используя платформу Amazon Web Services.
FREAK позволяет хакерам организовывать атаки типа «человек посередине» (man-in-the-middle). Суть такого нападения проста: злоумышленник, используя уязвимость, ставит себя в цепь между пользователем и ресурсом и таким образом может перехватывать любые сообщения.
Опасности подвержены в том числе сайты, использующие технологию SSL (Security Socket Layer). Из 14 млн ресурсов, использующих SSL, 5 млн являются уязвимыми, сообщают исследователи.
Ответить на вопрос как часто FREAK эксплуатировался взломщиками, вряд ли возможно. Стоит лишь отметить, что атаки «человек посередине» — популярный инструмент не только среди хакеров, но также среди государств, которые практикуют этот метод для слежки за своими гражданами.
Исследователи, обнаружившие уязвимость, уведомили частные корпорации и органы государственной власти об угрожающей опасности. Apple обещает исправить проблему на следующей неделе. Компания работает над патчем для компьютеров и мобильных устройств. Google также работает над апдейтом безопасности для ОС Android.