Пикантность ситуации в том, что уязвимость была намеренно внедрена в экспортируемый софт правительством США. Предполагалось, что при использовании 512-битного ключа шифрования взломать SSL-протокол (и следить за иностранцами) сможет только Агентство национальной безопасности, но не частные лица. В итоге 512-битное шифрование одобрили для коммерческого пользования в экспортном ПО.
На деле вычислительные мощности возросли настолько, что алгоритм шифрования любого сайта взламывается одним человеком при помощи батареи из 75 ПК за семь часов (что и продемонстрировали французские исследователи). Если бы использовалось 1024-битное шифрование, для взлома понадобились бы несколько миллионов ПК и порядка года чистого времени. Французы не смогли точно сказать, сумел ли кто-то использовать дыру в своих целях — но доказали, что FREAK-атака может быть использована для хищения личных данных зашедшего на взломанный сайт пользователя.
Apple и Googlе уже работают над соответствующими патчами: выход заплаток для iOS и Android ожидается в течение недели. Как обычно, на Android придется ждать, пока обновление докатится именно до вашей модели устройства. Пока что специалисты газеты The Washington Post рекомендуют использовать мобильную версию Chrome, на которую уязвимость не распространяется.
P.S. В наши дни правоохранительные органы тоже настаивают на встраивании в ПО всевозможных backdoor-уязвимостей. Американские коллеги предлагают представить, к чему все это может привести еще через десять лет развития информационных технологий.
