Vážná chyba učinila zranitelné uživatele Android i Apple

Bezpečnostní analytici odhalili bezpečnostní chybu, která mohla ohrozit nepředstavitelné množství uživatelů Android a Apple. A co je hrozivější¨, chyba zůstala neodhalena po více jak deset let. Za vznik této chyby může politika americké vlády z počátku devadesátých let. Kvůli boji o technologickou nadvládu bylo zakázáno prodávat do zahraničí software používající šifrování o tehdy neprolomitelné šířce 512 bit, které mělo být určeno pouze pro USA. Tato politika naštěstí oficiálně skončila koncem studené války, ale chyba bohužel zůstala bez povšimnutí, zaimplementována v bezpečnostních protokolech (SSL a TLS).

Chyba pojmenována jako FREAK (Factoring RSA Export Keys) umožňuje případnému útočníkovi dešifrovat vaše přihlašovací nebo jiné citlivé údaje posílané přes HTTPS připojení. Ohroženi jsou ovšem jen ti uživatelé, kteří používají na svém mobilním zařízení prohlížeče Safari nebo defaultní prohlížeče pro Android (netýká se Chromu). Pro Safari je chyba obsažena v knihovně Secure Transport, kterou používají všechny online aplikace běžící na iOS a OS X. A pro Androidí browser se riziko nachází v opensourcovém OpenSSL.

Ukázka zranitelnosti při komunikaci s poštovním klientem (1)

V praxi situace vypadá tak, že když se hacker usadí na probíhající komunikaci mezi vámi a nějakým serverem, může se, vydávaje za vás, pokusit přemluvit server, aby při komunikaci používal 512bit šifrování (v současnosti se používá minimálně 2048). Technicky vzato stále používáte šifrovanou komunikaci a jen tak někdo vás neodposlechne, ale v současné době k prolomení 512bit šifrování nepotřebujete ani nijak velký výpočetní výkon. Z 14 miliónů často navštěvovaných stránek bylo 36% "přemluvitelných" k 512bit komunikaci, mezi ně patřily dokonce i vládní stránky Whitehouse.gov, tips.fbi.gov a nsa.gov.

Zdroje obrázků použitých v článku:
miniatura: computerworld.com
(1): gizmodo.com