Новости

Множество приложений для Android и iOS остаются уязвимыми к FREAK-атакам

18.03.2015
Множество приложений для Android и iOS остаются уязвимыми к FREAK-атакам
03.03.2015 специалист по безопасности Мэтью Грин (Matthew Green) опубликовал пример атаки с использованием уязвимости в реализации протокола шифрования TLS в OpenSSL и Apple TLS/SSL, получившей название FREAK (Factoring attack on RSA-EXPORT Keys).

Данная уязвимость была обнаружена исследователями из INRIA, IMDEA и Microsoft и заключается в недостаточной проверке при выполнении аутентификации и обмене ключами (TLS Handshake) на стороне клиента, что приводит к возможности понизить шифрование во время выполнения атаки «человек посередине» до использования 512-битных ключей RSA, которые могут быть подобраны злоумышленником в течение нескольких часов.

Реализация таких атак дает злоумышленникам возможность скомпрометировать зашифрованные данные, а также похитить учётные данные пользователя и сведения о кредитных картах.

Поскольку прикладные программы могут содержать собственные уязвимые библиотеки OpenSSL, эксплуатация FREAK возможна на различных ОС, например, Android, iOS, а также MS Windows.

17.03.2015 компании FireEye опубликовала отчет, включающий статистику приложений, уязвимых к эксплуатации FREAK: 11,2% (1228 из 10985) Android-приложений из магазина Google Play, 5,5% (771 из 14 079) приложений из магазина Appstore для iOS.

Ранее, компания Microsoft сообщила, что уязвимость FREAK затрагивает все поддерживаемые версии Windows.

10.03.2015 компания Microsoft выпустила бюллетень безопасности, устраняющий уязвимость FREAK.