资安专家发现一项存在长达十年的安全漏洞,能够解码 HTTPS 保护的网页流量,从中窃取使用者密码,对使用者发动中间人攻击。不少知名新闻网站像 Business Insider 受影响,而台湾有爱评网和钜亨网检测出问题。
这项 FREAK 漏洞来自美国限制强加密技术的出口。在 1990 年之前,加密技术要出口的话,被限制最多只能用到 512 位元,虽然这项禁令在 1990 年代已经解禁,但是不少这些薄弱的加密技术输出美国后,因缘际会回到美国,造成相关产品的加密程度降低,如此导致 SSL/TLS 标准安全不足。512 位元的加密程度,其实只要一位熟练的破解密码人员,加上如今唾手可得的云端运算,像是能够轻易的承租 Amazon 的服务达成,花费的时间只要七小时。
密歇根大学的电脑科学家 J. Alex Halderman 和 Zakir Durumeric,列举有 RSA Export Suites 漏洞的网站清单,这些网站都会受 FREAK 漏洞影响。其中有不少知名新闻站如 Business Insider 以及 NPR 上榜。仔细看这份清单,台湾有爱评网和钜亨网上榜。
市面上主要的浏览器如 Chrome 和 Firefox 不会受到影响,但是 Google 的 Android 内建浏览器会受影响,而 Google 回应他们会提供修补程式给他们的合作厂商。如此作法无法保证 Andriod 用户的安全,因为 Google 无法控制每位用户的安全更新机制,得透过手机商才行。苹果则着手安全修补,预计下周会发布。
如今不只有 Google 或者苹果会受影响,使用人数相当多的微软也被爆也会受 FREAK 影响。微软出面承认 Windows 也有 FREAK 漏洞,目前着手修复中。
相关连结
- “FREAK” flaw in Android and Apple devices cripples HTTPS crypto protection
- ‘FREAK’ flaw undermines security for Apple and Google users, researchers discover
- Stop the presses: HTTPS-crippling “FREAK” bug affects Windows after all
