La falla de seguridad 'Freak' permitió a los hackers robar contraseñas y datos personales de usuarios de iPhone y Android durante décadas

iPhones, Androids y Mac contenían una puerta trasera porque EE. UU. prohibió la exportación de dispositivos con fuerte cifrado #Freak Vulnerabilidad

Impactante pero cierto, los usuarios de Android, iPhone y Mac de todo el mundo han estado expuestos a un riesgo de seguridad durante los últimos 10 años que permite a los hackers robar contraseñas y otros datos personales, debido a una política de EE. UU. que prohibía la exportación de dispositivos que contenían “cifrado fuerte” fuera del país.

Los investigadores que han publicado su informe sobre SmackTLS, afirman que esta falla existió durante 10 años y que Google Inc. y Apple Inc. ahora están tratando de solucionar esta vulnerabilidad.

Un grupo de criptógrafos de INRIA, Microsoft Research e IMDEA han descubierto algunas vulnerabilidades serias en OpenSSL (por ejemplo, Android) y en los clientes TLS/SSL de Apple (por ejemplo, Safari) que permiten a un ‘atacante de hombre en el medio’ (MiTM) degradar conexiones de RSA ‘fuerte’ a RSA ‘de grado de exportación’. Los investigadores dicen que esta falla fue posible porque el gobierno de EE. UU. no quería que los dispositivos cifrados fueran exportados fuera de los Estados Unidos.

Cualquier usuario de Android, iPhone o Mac que haya visitado sitios web gubernamentales como Whitehouse.gov, NSA.gov y FBI.gov, así como muchos otros sitios web populares en todo el mundo, estuvo expuesto a esta falla. Los investigadores encontraron que la falla obligó a los navegadores a aceptar un estándar de seguridad fácilmente quebrantable y luego hacer que el dispositivo fuera vulnerable. Una vez que el dispositivo era vulnerable, podía ser secuestrado por criminales cibernéticos en cuestión de horas, afirman los investigadores.

Explicando todo el concepto, los investigadores afirmaron que debido al RSA ‘de grado de exportación’, un agujero en la seguridad del navegador web permitió al grupo robar contraseñas y datos personales de los individuos. También abrió las puertas para una mayor explotación con un ataque masivo.

La falla de seguridad, que afecta al navegador web Safari de Apple para iOS y Mac, así como al navegador web predeterminado de Google para Android, no afecta a Chrome e Internet Explorer.

La falla, que fue reportada por primera vez por el Washington Post, está siendo corregida por Apple en el navegador web Safari en una actualización la próxima semana. Google dijo que ya había proporcionado un parche para Android a sus fabricantes de teléfonos inteligentes. Sin embargo, el problema para los usuarios de Android es múltiple, ya que tienen que esperar a que su fabricante de teléfonos inteligentes emita el parche y la mayoría de los fabricantes grandes y pequeños apenas parecen estar interesados en lanzar tales parches.

Además, Google ha dicho que no proporcionará parches para smartphones con Android 4.3 Jellybean y versiones anteriores para el componente WebView, que forma una parte vital del navegador predeterminado de Android. Por lo tanto, estos más de 1 mil millones de smartphones seguirán siendo vulnerables, si están en circulación, porque Google no proporcionará actualizaciones para ellos.

De los sitios web, FBI.gov y Whitehouse.gov han sido corregidos, según Cryptography Engineering, mientras que NSA.gov sigue siendo vulnerable a tal vulnerabilidad.