Endre, Elek
16 °C
28 °C

Évtizedes sebezhetőséget találtak több mobilböngészőben

2015.03.04. 11:00

Több mint egy évtizede létező sebezhetőséget fedeztek fel kedden biztonsági szakértők, amely sok minden más mellett az Apple és a Google mobilböngészőit érinti. A biztonsági rés egy rég elfeledett amerikai titkosítási szabályozást használ ki, amely közbeékelődéses támadást tesz lehetővé a hekkerek számára. A biztonsági hibát FREAK-nek („Factoring attack on RSA-EXPORT Keys”) nevezték el.

A kutatók szerint a sebezhetőségért az a szabályozás felelős, amely megtiltotta az erős titkosítási módszerek exportját az Egyesült Államokból más országokba, mert akkoriban az egyre fejlettebb titkosítások miatt a törvényhozók aggódtak, hogy nem fognak hozzáférni az eszközökhöz, így nem tudnak majd hatékony megfigyelést folytatni. Az elavult korlátozást már a 90-es évek végén feloldották, de a gyengébb, maximum 512 bites titkosítási protokollok addigra már beépültek számos világszerte használt szoftverbe, például az Apple Safari nevű böngészőjébe és a Google androidos alapböngészőjébe (tehát nem a Chrome mobilváltozatába). Aztán valahogy mindenki megfeledkezett az egészről.

Legalábbis reméljük, hogy mindenki, mert ha valakinek feltűnt a hiba, akkor óriási károkat okozhatott minimális ráfordítással. A kutatót azt vették észre, hogy az említett böngészőket bizonyos oldalak esetében kényszeríteni tudják a régi, gyengébb titkosítás használatára, amelyet azután alig néhány óra alatt fel is törtek. Ezzel a módszerrel a potenciális hekkerek egyrészt felhasználói adatokat is lophattak, másrészt magukat az érintett oldalakat is megtámadhatták volna bizonyos elemeik, például a Like-gomb feletti irányítás átvételével.

Márpedig olyan oldalak is érintettek, mint a whitehouse.gov, az nsa.gov vagy az fbi.gov. Az oldalak listáját ezen a linken végig lehet böngészni, és ugyanitt az is ellenőrizhető, hogy a link megnyitásához használt böngésző érintett-e. Az összes, titkosítást kínáló oldal több mint harmada, nagyjából 5 millió oldal volt sebezhető, de a lista folyamatosan rövidül.

Az oldalak mellett a böngészőket is javítják, az Apple már bejelentette, hogy jövő héten érkezik a biztonsági frissítésük. A Google is jelezte, hogy elkészült egy patch, az Android esetében viszont mindig a gyártók döntik el, mikor teszik elérhetővé a frissítéseket.