Уязвимость FREAK компрометирует HTTPS-соединение

На этой неделе список сетевых уязвимостей пополнился ещё одной, получившей название FREAK. Поначалу считалось, что подвержены этой проблеме протокола OpenSSL только устройства на платформе Android и модели компаний Apple и BlackBerry, однако в итоге в список жертв попала и Windows, что сразу значительно расширило масштаб угрозы.

Существует FREAK ещё с 90-х годов и позволяет злоумышленникам расшифровывать передаваемый в рамках HTTPS-соединения трафик. Специальный сайт FREAKAttack.com предоставляет статистические данные относительно уязвимости. Известно, что она существует и в браузерах Internet Explorer 11 на полностью обновлённых системах Windows 7.

FREAK представляет собой аббревиатуру от Factoring attack on RSA-EXPORT Keys. Она задействуется при подключении уязвимого устройства к уязвимому сайту через соединение HTTPS. При этом используется слабый устаревший вариант шифрования данных. Обладая доступом к трафику между серверами и устройствами, можно внедрять в него вредоносный код, ведущий к использованию ненадёжного 512-битного шифрования, которое по умолчанию обычно не задействовано.

В четверг Google обновила браузер Chrome на платформе OS X, закрыв дверь перед FREAK. В ОС Android обновление для Chrome пока не представлено, обновления для платформ Apple OS X и iOS ожидаются на следующей неделе, время появления обновления от Microsoft не сообщается. Неуязвимым перед новой опасностью оказался браузер Mozilla Firefox. Просканировав 14 млн. использующих HTTPS сайтов, исследователи назвали уязвимыми 36%.

Исследователи из Франции и США полагают, что уязвимость могла быть создана сознательно для облегчения работы разведывательных ведомств США, например, всё того же АНБ. Продукты на основе более слабых алгоритмов шифрования поставлялись за рубеж, а экспорт более надёжных решений был запрещён. При этом сайты самой АНБ и ФБР также оказались уязвимы.