Évtizedes sebezhetőséget találtak több mobilböngészőben
További Tech cikkek
- Az Instagram ezentúl korlátozza a politikai tartalmakat
- Japán szigorítana a mesterséges intelligencia fejlesztésén
- Elképesztő változáson esik át a Waze
- Fél évig akár féláron is használhatják a vezetékes internetet a Digi előfizetői
- Aggódik az Apple az iPhone miatt, biztonsági kockázatokat rejthet egy uniós szabályozás
Több mint egy évtizede létező sebezhetőséget fedeztek fel kedden biztonsági szakértők, amely sok minden más mellett az Apple és a Google mobilböngészőit érinti. A biztonsági rés egy rég elfeledett amerikai titkosítási szabályozást használ ki, amely közbeékelődéses támadást tesz lehetővé a hekkerek számára. A biztonsági hibát FREAK-nek („Factoring attack on RSA-EXPORT Keys”) nevezték el.
A kutatók szerint a sebezhetőségért az a szabályozás felelős, amely megtiltotta az erős titkosítási módszerek exportját az Egyesült Államokból más országokba, mert akkoriban az egyre fejlettebb titkosítások miatt a törvényhozók aggódtak, hogy nem fognak hozzáférni az eszközökhöz, így nem tudnak majd hatékony megfigyelést folytatni. Az elavult korlátozást már a 90-es évek végén feloldották, de a gyengébb, maximum 512 bites titkosítási protokollok addigra már beépültek számos világszerte használt szoftverbe, például az Apple Safari nevű böngészőjébe és a Google androidos alapböngészőjébe (tehát nem a Chrome mobilváltozatába). Aztán valahogy mindenki megfeledkezett az egészről.
Legalábbis reméljük, hogy mindenki, mert ha valakinek feltűnt a hiba, akkor óriási károkat okozhatott minimális ráfordítással. A kutatót azt vették észre, hogy az említett böngészőket bizonyos oldalak esetében kényszeríteni tudják a régi, gyengébb titkosítás használatára, amelyet azután alig néhány óra alatt fel is törtek. Ezzel a módszerrel a potenciális hekkerek egyrészt felhasználói adatokat is lophattak, másrészt magukat az érintett oldalakat is megtámadhatták volna bizonyos elemeik, például a Like-gomb feletti irányítás átvételével.
Márpedig olyan oldalak is érintettek, mint a whitehouse.gov, az nsa.gov vagy az fbi.gov. Az oldalak listáját ezen a linken végig lehet böngészni, és ugyanitt az is ellenőrizhető, hogy a link megnyitásához használt böngésző érintett-e. Az összes, titkosítást kínáló oldal több mint harmada, nagyjából 5 millió oldal volt sebezhető, de a lista folyamatosan rövidül.
Az oldalak mellett a böngészőket is javítják, az Apple már bejelentette, hogy jövő héten érkezik a biztonsági frissítésük. A Google is jelezte, hogy elkészült egy patch, az Android esetében viszont mindig a gyártók döntik el, mikor teszik elérhetővé a frissítéseket.