「フリーク」セキュリティの欠陥により、ハッカーが数十年にわたりiPhoneおよびAndroidユーザーのパスワードや個人データを盗むことが可能に

iPhone、Android、Macにはバックドアが存在し、米国が強力な暗号化を含むデバイスの輸出を禁止していたため #Freak 脆弱性

衝撃的ですが真実です。世界中のAndroid、iPhone、Macユーザーは、過去10年間にわたり、ハッカーがパスワードやその他の個人データを盗むことを可能にするセキュリティリスクにさらされていました。これは、米国の政策が「強力な暗号化」を含むデバイスの国外への輸出を禁止していたためです。

SmackTLSに関する報告書を発表した研究者たちは、この欠陥が10年前から存在しており、Google Inc.とApple Inc.がこの脆弱性を修正しようとしていると述べています。

INRIA、Microsoft Research、IMDEAの暗号学者のグループは、OpenSSL（例：Android）クライアントおよびApple TLS/SSLクライアント（例：Safari）に深刻な脆弱性を発見しました。これにより、「中間者攻撃者」（MiTM）が接続を「強力な」RSAから「輸出グレード」のRSAにダウングレードできるようになります。研究者たちは、この欠陥が発生したのは、米国政府が暗号化デバイスの国外への輸出を望まなかったためだと述べています。

ホワイトハウスのウェブサイト（Whitehouse.gov）、NSA.gov、FBI.govなどの政府のウェブサイトや、世界中の多くの人気ウェブサイトを訪れたAndroid、iPhone、またはMacユーザーは、この欠陥にさらされました。研究者たちは、この欠陥がブラウザに簡単に破られるセキュリティ標準を受け入れさせ、デバイスを脆弱にすることを強制したことを発見しました。一度デバイスが脆弱になると、サイバー犯罪者によって数時間以内にハイジャックされる可能性があると研究者たちは述べています。

全体の概念を説明する中で、研究者たちは「輸出グレード」のRSAのために、ウェブブラウザのセキュリティに穴が開いており、グループが個人のパスワードや個人データを盗むことを可能にしたと述べました。また、大規模な攻撃によるさらなる悪用の扉も開かれました。

このセキュリティの欠陥は、AppleのiOSおよびMac用のSafariウェブブラウザ、ならびにGoogleのAndroid用の標準ウェブブラウザに影響を与えますが、ChromeやInternet Explorerには影響を与えません。

ワシントンポストが最初に報告したこの欠陥は、Appleが来週のアップデートでSafariウェブブラウザで修正する予定です。Googleは、すでにAndroidのスマートフォンメーカーにパッチを提供したと述べています。しかし、Androidユーザーにとっての問題は多岐にわたります。彼らはスマートフォンメーカーがパッチを発行するのを待たなければならず、大手および小規模のメーカーのほとんどは、そのようなパッチをリリースすることにあまり関心を示していないようです。

また、Googleは、WebViewコンポーネントに対するAndroid 4.3 Jellybeanおよびそれ以前のスマートフォンにパッチを提供しないと述べています。これはデフォルトのAndroidブラウザの重要な部分を形成しています。したがって、これらの10億台以上のスマートフォンは、流通している限り脆弱なままとなります。Googleはそれらの更新を提供しないためです。

ウェブサイトの中で、FBI.govとWhitehouse.govは修正されたとCryptography Engineeringによると、NSA.govはこの脆弱性に対して依然として脆弱です。