FREAK ranljivost ogroža varnost na spletu

Raziskovalci s področja varnosti so našli novo ranljivost v računalniških izdelkih, ki omogoča izkoriščanje možnost nižje stopnje kompleksnosti šifriranja podatkov in s tem lažje vdore v sisteme s surovimi napadi na ciljno napravo. Ranljivost se nanaša na varne komunikacije SSL/TSL in s tem povezane ključe za šifriranje podatkov, izhaja pa še iz davno minulih časov, ko je v ZDA regulativa zahtevala, da so domači proizvajalci lahko izvažali zgolj izdelke z nižjo stopnjo kakovost šifriranja podatkov.

Regulativa je bila opuščena že pred več kot desetimi leti, vendar so vsi, vključno s proizvajalci domala pozabili, da se možnost preklopa še nahaja implementirana v kodi. Raziskovalci so na osnovi tega našli ranljivosti FREAK (Factoring Attack on RSA-EXPORT Keys) v številnih izdelkih, med drugim v brskalnikih, pri katerih lahko zunanji napadalec vsili uporabo komunikacij s šibkejšimi, 512-bitnimi ključi. Ko je tovrstno stanje vzpostavljeno, lahko uporabijo surovo moč procesiranja sodobnih računalnikov za dekodiranje ključa. V laboratorijskem preizkusu so izmerili, da lahko z običajnim računalnikom do ključa pridemo v približno sedmih urah od začetka napada.

Avtorji raziskave so se zavedali razsežnosti varnostne luknje, pa tudi odgovornosti, zato so pred objavo v javnosti obvestili najprej državne institucije in glavne ponudnike internetnih storitev, da so ti lahko začeli pravočasno ukrepati. Apple je tako že najavil, da bo v kratkem objavil potrebne popravke za Mac OS in iOS, ki sta oba (pa ne edina) ranljiva na tovrstne napade.