Falha de segurança 'Freak' permitiu que hackers roubassem senhas e dados pessoais de usuários de iPhone e Android por décadas

iPhones, Androids e Mac continham uma porta dos fundos porque os EUA proibiram exportações de dispositivos com criptografia forte #Freak Vulnerability

Chocante, mas verdade, usuários de Android, iPhone e Mac ao redor do mundo foram expostos a um risco de segurança nos últimos 10 anos, permitindo que hackers roubassem senhas e outros dados pessoais, devido a uma política dos EUA que proibia a exportação de dispositivos contendo “criptografia forte” para fora do país.

Pesquisadores que publicaram seu relatório sobre SmackTLS afirmam que essa falha existiu por 10 anos e que a Google Inc. e a Apple Inc. estão agora tentando corrigir essa vulnerabilidade.

Um grupo de criptógrafos da INRIA, Microsoft Research e IMDEA descobriu algumas vulnerabilidades sérias nos clientes OpenSSL (por exemplo, Android) e nos clientes Apple TLS/SSL (por exemplo, Safari) que permitem que um ‘atacante man-in-the-middle’ (MiTM) faça downgrade das conexões de RSA ‘forte’ para RSA ‘de grau de exportação’. Os pesquisadores afirmam que essa falha foi possível porque o governo dos EUA não queria que dispositivos criptografados fossem exportados para fora dos Estados Unidos.

Qualquer usuário de Android, iPhone ou Mac que visitou sites do governo como Whitehouse.gov, NSA.gov e FBI.gov, bem como muitos outros sites populares ao redor do mundo, foi exposto a essa falha. Os pesquisadores descobriram que a falha forçou os navegadores a aceitarem um padrão de segurança facilmente quebrável e, em seguida, tornava o dispositivo vulnerável. Uma vez que o dispositivo estava vulnerável, ele poderia ser sequestrado por criminosos cibernéticos em poucas horas, afirmam os pesquisadores.

Explicando todo o conceito, os pesquisadores afirmaram que, devido ao RSA ‘de grau de exportação’, uma brecha na segurança do navegador da web permitiu que o grupo roubasse senhas e dados pessoais de indivíduos. Também abriu portas para uma exploração adicional com um ataque em massa.

A falha de segurança, que afeta o navegador Safari da Apple para iOS e Mac, bem como o navegador padrão da Google para Android, não afeta o Chrome e o Internet Explorer.

A falha, que foi relatada pela primeira vez pelo Washington Post, está sendo corrigida pela Apple no navegador Safari em uma atualização na próxima semana. A Google disse que já forneceu um patch para o Android aos fabricantes de smartphones. No entanto, o problema para os usuários de Android é múltiplo, pois eles têm que esperar que seu fabricante de smartphone emita o patch e a maioria dos grandes e pequenos fabricantes parece estar pouco interessada em liberar tais patches.

Além disso, a Google disse que não fornecerá patches para smartphones Android 4.3 Jellybean e anteriores para o componente WebView, que forma uma parte vital do navegador padrão do Android. Portanto, esses mais de 1 bilhão de smartphones permanecerão vulneráveis, se estiverem em circulação, porque a Google não fornecerá atualizações para eles.

Dos sites, FBI.gov e Whitehouse.gov foram corrigidos, de acordo com a Engenharia de Criptografia, enquanto NSA.gov permanece vulnerável a tal vulnerabilidade.