Миллионы пользователей «макбуков», iPhone и Android были годами беззащитны перед хакерскими атаками

Группа экспертов при содействии специалистов Microsoft, обнаружили новую уязвимость, которая дает возможность злоумышленникам взламывать сайты и расшифровывать информацию, которая циркулирует между ресурсами, ПК на Apple OS X и мобильными устройствами (iOS и Android). Известно, что уязвимость касается практически всех устройств на базе OS X, iOS и Android. Пользователи, использующие Windows и Linux, защищены от ошибки.

Из крупных российских ресурсов в «черный» список попали artlebedev.ru, subscribe.ru, labirint.ru, alfabank.ru, vesti.ru и другие. Из американских — connect.facebook.net, fbi.gov, nsa.gov, businessinsider.com, bloomberg.com, americanexpress.com и другие.

Уязвимость, обнаруженная в технологии SSL/TLS, оставалась незамеченной свыше 10 лет. Все это время миллионы пользователей были беззащитны перед внешними атаками.

Уязвимость, получившая кодовое имя FREAK и обозначение CVE-2015-0204, дает возможность интегрировать в сетевой трафик специальные пакеты, которые заставляют источник трафика переходить более слабый уровень шифрования (ключ 512 бит). После этого преступники могут расшифровывать трафик, используя, к примеру, мощности облачных провайдеров.

Специалисты потратили на расшифровку менее 8 часов, используя виртуальные сервера от Amazon. Затраты на взлом составили всего 104 доллара, при этом для атаки достаточно найти сайт с уязвимостью.

Ключи длиной 512 бит – пережиток прошлого. Более десяти лет назад власти США обязали производителей ПО и оборудования, отправляемого на экспорт, внедрять функцию переключения на более слабый алгоритм шифрования. Это могло потребоваться, если спецслужбам потребуется расшифровать иностранный интернет-трафик. Позднее данное требование было отменено, однако такая возможность осталась в большом количестве устройств.

Корпорация Apple заверила, что активно работает над пакетом обновлений, который позволит закрыть «дыру». В Google сообщили, что для своей платформы они уже создали аналогичный пакет обновлений, уже начата рассылка партнерам.

Оставить комментарий