Опасная уязвимость из прошлого угрожает пользователям самых популярных браузеров

Впервые о ней заговорили специалисты нескольких исследовательских компаний. В частности, обнаружили ее работники INRIA, IMDEA и Microsoft Research. Но тогда эту проблему всерьез никто не воспринял. Должное внимание ей уделили только после публикации Мэтью Грина – специалиста по безопасности из Университета Джона Хопкинса. Он более подробно раскрыл суть проблемы и описал все возможные риски.

Сначала эксперты утверждали, что данная уязвимость несет угрозу пользователям iOS, OS X и Android, которые работают с браузерами Safari и Google Chrome. Но проблема оказалась более масштабной, так как она затрагивает также и людей, пользующихся операционной системой Windows.

Уязвимость FREAK является аббревиатурой от «Factoring attack on RSA-EXPORT Keys». Она используется злоумышленниками в тех случаях, когда владелец уязвимого устройства открывает зараженный сайт, поддерживающий защищенное соединение по протоколу HTTPS. С помощью этой уязвимости организовываются обычно такие распространенные атаки на компьютер пользователя, как «человек посередине». То есть у злоумышленников появляется возможность получить доступ к конфиденциальной информации путем перехвата любых сообщений или запросов, отправляемых пользователем.

Чтобы понять, насколько эта проблема серьезная, нужно немного покопаться в истории. В конце прошлого столетия исследователи в области интернет-безопасности и разработчики ПО заявили о том, что необходимо расширить использование криптографии в современных технологиях для усиления защиты сайтов. Но американские власти в этом видели серьезную угрозу, которая может привести к нарушению общественного порядка и разгулу организованной преступности. Между разработчиками и правительством разгорелась серьезная дискуссия о необходимости использования криптографии. Но в итоге они нашли компромисс. В то время они посчитали, что наиболее оптимальный уровень защиты можно будет обеспечить, ограничив длину ключей шифрования для экспортной продукции на уровне 512 бит. Тогда, возможно, это было надежным вариантом защиты, но со временем компьютерные и интернет- технологи развивались и требовали более серьезной защиты, а используемый ранее уровень защиты уже не казался таким уже серьезным, поэтому этой уязвимостью начали часто пользоваться злоумышленники. Например, с помощью FREAK можно было серьезно ослабить защиту браузера и заполучить доступ к конфиденциальной информации пользователя.

Исследователи из Университета Пенсильвании установили, что при использовании платформы Amazon Web Services «экспортную» защиту можно взломать за каких-то 7 часов. В 1999 году ограничение длины ключей решили отменить, но с того момента не везде эта уязвимость была исправлена.

Как сообщали журналисты Washington Post, некоторое время были уязвимыми даже сайты Белого дома и ФБР. Со временем это, конечно же, исправили.

Сегодня очень сложно определить, в каких случаях утечек информации использовалась уязвимость FREAK. Но эксперты предполагают, что ее могут иметь миллионы сайтов.

Сегодня для проверки браузеров и сайтов на наличие этой уязвимости создан специальный ресурс, на котором также имеется перечень наиболее уязвимых сайтов.

Разработчики браузеров сегодня активно занялись улучшением безопасности своих продуктов. Компания Google для своего обозревателя, работающего компьютерах и ноутбуках Apple, уже выпустила соответствующее обновление. А вот версия для Android-устройств все еще остается уязвимой, но этот вопрос уже решается. Компания Apple намерена выпустить соответствующие обновления для своих ОС на следующей неделе. А вот Microsoft пока этим вопросом не обеспокоена.