Vážná chyba učinila zranitelné uživatele Android i Apple

Zpravodajství Mobilní zařízení Vážná chyba učinila zranitelné uživatele Android i Apple

Bezpečnostní analytici odhalili bezpečnostní chybu, která mohla ohrozit nepředstavitelné množství uživatelů Android a Apple. A co je hrozivější¨, chyba zůstala neodhalena po více jak deset let. Za vznik této chyby může politika americké vlády z počátku devadesátých let. Kvůli boji o technologickou nadvládu bylo zakázáno prodávat do zahraničí software používající šifrování o tehdy neprolomitelné šířce 512 bit, které mělo být určeno pouze pro USA. Tato politika naštěstí oficiálně skončila koncem studené války, ale chyba bohužel zůstala bez povšimnutí, zaimplementována v bezpečnostních protokolech (SSL a TLS).

Chyba pojmenována jako FREAK (Factoring RSA Export Keys) umožňuje případnému útočníkovi dešifrovat vaše přihlašovací nebo jiné citlivé údaje posílané přes HTTPS připojení. Ohroženi jsou ovšem jen ti uživatelé, kteří používají na svém mobilním zařízení prohlížeče Safari nebo defaultní prohlížeče pro Android (netýká se Chromu). Pro Safari je chyba obsažena v knihovně Secure Transport, kterou používají všechny online aplikace běžící na iOS a OS X. A pro Androidí browser se riziko nachází v opensourcovém OpenSSL.

schema

Ukázka zranitelnosti při komunikaci s poštovním klientem (1)

V praxi situace vypadá tak, že když se hacker usadí na probíhající komunikaci mezi vámi a nějakým serverem, může se, vydávaje za vás, pokusit přemluvit server, aby při komunikaci používal 512bit šifrování (v současnosti se používá minimálně 2048). Technicky vzato stále používáte šifrovanou komunikaci a jen tak někdo vás neodposlechne, ale v současné době k prolomení 512bit šifrování nepotřebujete ani nijak velký výpočetní výkon. Z 14 miliónů často navštěvovaných stránek bylo 36% "přemluvitelných" k 512bit komunikaci, mezi ně patřily dokonce i vládní stránky Whitehouse.gov, tips.fbi.gov a nsa.gov.

Zdroje obrázků použitých v článku:
miniatura: computerworld.com
(1): gizmodo.com


 

  Aktivity (1)

Zprávu pro vás napsal Gabriel Mastný 5.3.2015 10:36
Avatar

Miniatura
Všechny články v sekci
Zprávy ze světa mobilních zařízení

 

 

Komentáře
Zobrazit starší komentáře (1)

Avatar
IT Man
Redaktor
Avatar
IT Man:

Jojo, hlavně Gmail vypadá jako PacMan. :D

Odpovědět 5.3.2015 18:16
Když nevíš jak dál, podá ti ruku někdo, od koho by jsi to nečekal. A tu šanci musíš přijmout!
Avatar
MadaraCZech
Redaktor
Avatar
MadaraCZech:

Kde jsou ty časy, kdy všechny linuxové distribuce byly nezranitelné. Gratuluji Google, dobrá práce.

 
Odpovědět  ±0 5.3.2015 20:28
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na MadaraCZech
David Novák:

ehm... o_O Takové časy nikdy nebyly.

Odpovědět  +2 5.3.2015 20:52
Chyba je mezi klávesnicí a židlí.
Avatar
MadaraCZech
Redaktor
Avatar
Odpovídá na David Novák
MadaraCZech:

To si asi Linux pleteš s Windows.

 
Odpovědět  -5 5.3.2015 21:27
Avatar
David Novák
Tým ITnetwork
Avatar
Odpovídá na MadaraCZech
David Novák:

:D nope.. kromě toho, že Windows už nějakou dobu nepoužívám, tak žádný SW není bez chyb a už vůbec ne nezranitelný.. Se klidně podívej na bug reporty v Linuxovém jádře.. ;)

Odpovědět  +2 5.3.2015 22:04
Chyba je mezi klávesnicí a židlí.
Avatar
msprg
Člen
Avatar
Odpovídá na IT Man
msprg:

Ked gmail vyzera ako pacman tak you je obrateny pacman a obidvaja chcu zjest gulicku Bad gui. :D

 
Odpovědět  +1 5.3.2015 22:37
Avatar
Jiří Gracík
Redaktor
Avatar
Odpovídá na msprg
Jiří Gracík:

Nebo sebe navzájem a Bad Guy jim v tom brání, určitě se hlavně proto jmenuje Bad Guy :D

Odpovědět  +2 5.3.2015 22:38
Creating websites is awesome till you see the result in another browser ...
Avatar
mkub
Redaktor
Avatar
mkub:

lepsie je toho "Bad Gaya" nazvat: "man in the middle" a ten utok je jeden z tych typov...
mimochodom, ziadny SW nebol nikdy nezranitelny (ci sa jedna o Windows, MAC, Linux,...), ale otvoreny zdroj napomaha k odhaleniu chyb (kazdy, kto vie programovat a sa v tom kode vyzna ma moznost odhalit zranitelnost a vydat na dany kod patch), kdezto uzatvoreny kod moze mat (aj ma) hafo nezistenych a nezistitelnych bezpecnostnych chyb a len mala cast sa opravi, lebo firma vyvijajuca uzavrety SW ma obmedzene financne a personalne zdroje na opravu a oddelenia zaoberajuce sa vyvojom SW sa musi riadit tym, co im povie vedenie spolocnosti (tam je najvacsi problem proprietarneho SW)

 
Odpovědět  +1 6.3.2015 0:35
Avatar
David Novák
Tým ITnetwork
Avatar
David Novák:

Teď jsem si uvědomil, že tak trochu kecám.. On existuje nezranitelný (a dokonce i nemá žádné chyby) software..

Ovšem musí být napsán v jazyce Nothing.. :)

Odpovědět 6.3.2015 9:13
Chyba je mezi klávesnicí a židlí.
Avatar
msprg
Člen
Avatar
Odpovídá na Jiří Gracík
msprg:

aj to ma napadlo...

Editováno 7.3.2015 0:35
 
Odpovědět 7.3.2015 0:35
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 11. Zobrazit vše