НовостиОбзорыВсе о нейросетяхБытовая техника 2024ГаджетыТехнологииНаукаСоцсетиЛайфхакиFunПромокодыСтранные вопросыЭксперты

Обнаружена уязвимость FREAK для браузеров iOS и Android

4 марта 2015
3 марта французские специалисты по кибербезопасности обнаружили новую уязвимость устройств на iOS и Android. Уязвимость называется FREAK — от слов «Factoring attack on RSA-EXPORT Key» или «Факторизация экспортного ключа RSA» — и распространяется на все устройства, использующие Safari и встроенный браузер Android. Дыра в протоколах шифрования SSL/TLS существует с начала 90-х (!!!) и делает ваши устройства уязвимыми для хакерских атак при посещении определенных сайтов (таких, как Whitehouse.gov, NSA.gov и FBI.gov).

Пикантность ситуации в том, что уязвимость была намеренно внедрена в экспортируемый софт правительством США. Предполагалось, что при использовании 512-битного ключа шифрования взломать SSL-протокол (и следить за иностранцами) сможет только Агентство национальной безопасности, но не частные лица. В итоге 512-битное шифрование одобрили для коммерческого пользования в экспортном ПО.

На деле вычислительные мощности возросли настолько, что алгоритм шифрования любого сайта взламывается одним человеком при помощи батареи из 75 ПК за семь часов (что и продемонстрировали французские исследователи). Если бы использовалось 1024-битное шифрование, для взлома понадобились бы несколько миллионов ПК и порядка года чистого времени. Французы не смогли точно сказать, сумел ли кто-то использовать дыру в своих целях — но доказали, что FREAK-атака может быть использована для хищения личных данных зашедшего на взломанный сайт пользователя.

Apple и Googlе уже работают над соответствующими патчами: выход заплаток для iOS и Android ожидается в течение недели. Как обычно, на Android придется ждать, пока обновление докатится именно до вашей модели устройства. Пока что специалисты газеты The Washington Post рекомендуют использовать мобильную версию Chrome, на которую уязвимость не распространяется.

P.S. В наши дни правоохранительные органы тоже настаивают на встраивании в ПО всевозможных backdoor-уязвимостей. Американские коллеги предлагают представить, к чему все это может привести еще через десять лет развития информационных технологий.