Группа экспертов по информационной безопасности, при участии специалистов из корпорации Microsoft, обнаружила уязвимость, позволяющую хакерам взламывать веб-сайты и расшифровывать данные, циркулирующие между этими веб-сайтами, мобильными устройствами на платформах Apple iOS, Google Android и компьютерами на базе Apple OS X, сообщает Ars Technica.
Как заявил изданию "Ars Technica" Мэттью Грин (Matthew Green), криптограф, научный сотрудник Университета Джона Хопкинса, уязвимы практически все устройства на Android, iOS и OS X. При этом проблема не касается устройств на базе Windows и Linux.
Из российских сайтов в "черный" список попали vesti.ru, alfabank.ru, labirint.ru, subscribe.ru, artlebedev.ru и др. Из американских - americanexpress.com, bloomberg.com, businessinsider.com, nsa.gov, fbi.gov, connect.facebook.net и др.
Уязвимость в технологии шифрования трафика SSL/TLS существует более 10 лет, и до сих пор не была замечена. Все это время миллионы пользователей оставались беззащитны к действиям злоумышленников.
Обнаруженная уязвимость, получившая кодовое имя FREAK и стандартную маркировку CVE-2015-0204, позволяет злоумышленникам вставлять пакеты в сетевой трафик, заставляющие источник трафика понижать уровень шифрования данных путем перехода на 512-битный ключ. После этого хакеры, перехватывая трафик, могут расшифровать его, воспользовавшись мощностями облачных провайдеров, например Amazon (Amazon Web Services).
Грин рассказал в своем блоге, что его коллегам удалось расшифровать ключ, потратив на это около семи с половиной часов процессорного времени виртуальных серверов Amazon EC2. Затраты на операцию составили $104. "Все, что вам нужно, - это сайт с уязвимостью", - резюмирует эксперт.
512-битные ключи шифрования - это пережиток прошлого, поясняет "Ars Technica". В 1990-х годах администрация президента США Билла Клинтона (Bill Clinton) обязала американских производителей оборудования и программного обеспечения, идущего на экспорт, добавлять возможность переключения на 512-битные ключи на тот случай, если США потребуется расшифровать иностранный трафик. Впоследствии это правило было отменено, однако более простые шифры сохранились во множестве продуктов.
Компания Apple сообщила, что уже работает над обновлениями, которые позволят устранить уязвимость. В Google заявили, что для платформы Android такое обновление уже готово, и в настоящее время компания рассылает его своим партнерам.