La vulnerabilità ‘Freak’ ha permesso agli hacker di rubare password e dati personali da utenti iPhone e Android per decenni

Gli iPhone, gli Android e i Mac contenevano una backdoor perché gli Stati Uniti vietavano l’esportazione di dispositivi con crittografia forte #Freak Vulnerability

Scioccante ma vero, gli utenti di Android, iPhone e Mac in tutto il mondo sono stati esposti a un rischio di sicurezza per gli ultimi 10 anni, consentendo agli hacker di rubare password e altri dati personali, a causa di una politica degli Stati Uniti che vietava l’esportazione di dispositivi contenenti “crittografia forte” al di fuori del paese.

I ricercatori che hanno pubblicato il loro rapporto su SmackTLS affermano che questa vulnerabilità esisteva da 10 anni e Google Inc. e Apple Inc. stanno ora cercando di risolvere questa vulnerabilità.

Un gruppo di crittografi di INRIA, Microsoft Research e IMDEA ha scoperto alcune gravi vulnerabilità nei client OpenSSL (ad es., Android) e nei client Apple TLS/SSL (ad es., Safari) che consentono a un “attaccante man in the middle” (MiTM) di degradare le connessioni da RSA “forte” a RSA “di grado di esportazione”. I ricercatori affermano che questa vulnerabilità è stata possibile perché il governo degli Stati Uniti non voleva che i dispositivi crittografati fossero esportati al di fuori degli Stati Uniti.

Qualsiasi utente Android, iPhone o Mac che ha visitato siti web governativi come Whitehouse.gov, NSA.gov e FBI.gov, così come molti altri siti web popolari in tutto il mondo, è stato esposto a questa vulnerabilità. I ricercatori hanno scoperto che la vulnerabilità costringeva i browser ad accettare uno standard di sicurezza facilmente violabile e poi rendeva il dispositivo vulnerabile. Una volta che il dispositivo era vulnerabile, poteva essere dirottato da criminali informatici in poche ore, affermano i ricercatori.

Spiegando l’intero concetto, i ricercatori hanno dichiarato che a causa di RSA “di grado di esportazione”, un buco nella sicurezza del browser web ha consentito al gruppo di rubare password e dati personali dagli individui. Ha anche aperto la strada a ulteriori sfruttamenti con un attacco di massa.

La vulnerabilità di sicurezza, che colpisce il browser web Safari di Apple per iOS e Mac, così come il browser web stock di Google per Android, non colpisce Chrome e Internet Explorer.

La vulnerabilità, che è stata segnalata per la prima volta dal Washington Post, è in fase di risoluzione da parte di Apple nel browser web Safari in un aggiornamento della prossima settimana. Google ha dichiarato di aver già fornito una patch per Android ai produttori di smartphone. Tuttavia, il problema per gli utenti Android è molteplice, poiché devono aspettare che il produttore del loro smartphone emetta la patch e la maggior parte dei grandi e piccoli produttori sembra poco interessata a rilasciare tali patch.

Inoltre, Google ha dichiarato che non fornirà patch per smartphone Android 4.3 Jellybean e inferiori per il componente WebView, che forma una parte vitale del browser Android predefinito. Pertanto, questi smartphone 1 miliardo+ rimarranno vulnerabili, se sono in circolazione, perché Google non fornirà aggiornamenti per loro.

Tra i siti web, FBI.gov e Whitehouse.gov sono stati corretti, secondo Cryptography Engineering, mentre NSA.gov rimane vulnerabile a tale vulnerabilità.