В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности
Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.
Исследователи безопасности предупреждают, что в OpenSSL и Apple SecureTransport свыше 20 лет существует уязвимость "FREAK Attack", позволяющая раскрыть важные данные. Как сообщает Washington Post, эта брешь появилась из-за экспортных ограничений, которые присутствовали в США в 90-х годах, и может поставить под угрозу безопасность миллионов web-сайтов.
Уязвимость позволяет злоумышленнику расшифровать файлы cookie и прочую важную информацию, полученную через соединение HTTPS. Отметим, что брешь работает лишь на некоторых браузерах, использующих устаревшую версию OpenSSL / SecureTransport (например, Apple Safari).
Оказалось, что злоумышленники могут с помощью определенных манипуляций вынудить уязвимые приложения использовать слабые ключи шифрования. В результате хакеры могут расшифровать и похитить важную информацию, передающуюся через SSL-трафик.
Уязвимости был присвоен идентификатор CVE-2015-0204 . Разработчики OpenSSL исправили брешь в январе нынешнего года, в то время как Apple пообещала выпустить обновление для SecureTransport на iOS и OS X. Пользователям данных операционных систем рекомендуется проверить наличие исправлений.
Брешь существует из-за того, что в 90-х годах правительство США запрещало американцам экспортировать ПО, которое не использовало специальные «экспортные наборы ключей». Максимальная длина ключа в таких наборах не должна была превышать 512 бит. С тех пор ограничения были сняты, но некоторые реализации SSL и TLS до сих пор поддерживают устаревшую технологию.
Домашний Wi-Fi – ваша крепость или картонный домик?