Дефект SSL/TLS ставит под угрозу безопасность мобильных устройств

Защищенный протокол Интернета HTTPS оказался не столь безопасным, как это было принято считать. Обнаруженная на днях уязвимость SSL/TLS делает возможным перехват зашифрованных коммуникаций между веб-сайтом и браузером мобильного устройства на базе iOS и Android.

О том как можно использовать дефект защиты под названием Freak (Factoring attack on RSA-Export Keys) рассказывается на специально созданном сайте freakattack.com. Freak заставляет браузеры применять старый стандарт шифрования «экспортного класса», который можно взломать в течение 12 часов.

В число потенциальных жертв Freak попали многие устройства Google и Apple (с не пропатченным OpenSSL), большое количество встраиваемых систем и всевозможное ПО, использующее TLS с уязвимыми криптографическими пакетами.

Обнаружившая дефект команда SmackTLS.com особо подчеркивает, что своим возникновением эта проблема обязана государственной политике США в области технологий шифрования: «Эта атака нацелена на класс экспортируемых шифропакетов, намеренно сделанных уязвимыми».

«Экспортными» называют алгоритмы, которые были введены под давлением американского правительства в 90-е годы, для того, чтобы позволить АНБ расшифровывать все иностранные коммуникации. Более сильные алгоритмы были запрещены к экспорту и засекречены как военные технологии.

По мнению Салливана (Sean Sullivan) из F-Secure, для рядовых пользователей Интернета Freak представляет больше теоретическую угрозу, так как хакер должен сначала взломать сервер веб-сайта и лишь после этого может заставить мобильное устройство перейти на уязвимый протокол. Тем не менее, эта уязвимость стала яркой демонстрацией того, как политика введения двойных стандартов в технологиях может ударить по их создателям даже спустя два десятка лет.

В итоге, в зону риска попало почти 10% из первого миллиона ведущих веб-ресурсов, включая сайты American Express, GroupOn и Капитолия.