Уязвимость безопасности ставит пользователей Mac, iOS и Android под угрозу взлома на некоторых крупных сайтах

Ben Lovejoy | Среда, 4 марта, 2015, 03:05.

Avatar for Ben Lovejoy
 | 4 марта 2015 г. — 4:12 PT

Криптографы обнаружили, что уязвимость безопасности, появившаяся еще в 90-х годах, ставит пользователей OS X, iOS и Android под угрозу взлома при посещении некоторых крупных веб-сайтов, включая American Express, Airtel, Bloomberg, Business Insider, Groupon, Marriott и многих других.

Эксплойт FREAK позволяет злоумышленнику заставить веб-сайт использовать шифрование более низкого класса для HTTPS-соединений, которое может быть взломано за несколько часов с использованием небольшой ботсети всего из 75 компьютеров. После взлома злоумышленники смогут получить доступ к веб-сайту, а также украсть личные данные посетителей сайта…

Слабое место существует из-за политики правительства США, датируемой 1990-ми годами, сообщает *The Washington Post*.

Как говорят исследователи, обнаружившие проблему, эта уязвимость возникла в результате бывшей политики правительства США, которая запрещала экспорт сильного шифрования и требовала, чтобы более слабые продукты «экспортного класса» поставлялись клиентам в другие страны. Эти ограничения были сняты в конце 1990-х годов, но более слабое шифрование было встроено в широко используемое программное обеспечение, которое распространилось по всему миру и вернулось в США, по-видимому, незамеченным до этого года.

FREAK — это аббревиатура метода атаки: Factoring RSA-EXPORT Keys (Факторизация ключей RSA экспортного класса). Любой браузер, использующий неисправленную версию OpenSSL, находится под угрозой, включая Safari на Mac и iOS.

По иронии судьбы, сайты ФБР, Белого дома и АНБ были уязвимы, хотя, по сообщениям *Re/code*, первые два сайта уже были исправлены. Список ведущих сайтов, уязвимых для этого эксплойта, обширен. Вы можете проверить, находятся ли сайты, которые вы посещаете, под угрозой, найдя их в полном списке доменов.

Apple осведомлена о проблеме и сообщила Re/code, что исправление будет выпущено на следующей неделе.

Представитель Apple Райан Джеймс заявил, что компания разработала обновление программного обеспечения для устранения уязвимости, и оно будет выпущено на следующей неделе.

Неизвестно, использовали ли злоумышленники эту уязвимость, поэтому риск, вероятно, невелик, но вы можете, по крайней мере, проверить любые веб-сайты, которые вы используете для финансовых транзакций или других конфиденциальных действий.

Изображение: idigitaltimes.com