‘Freak’ Уязвимость безопасности позволила хакерам красть пароли и личные данные пользователей iPhone и Android на протяжении десятилетий

iPhone, Android и Mac содержали заднюю дверь, потому что США запретили экспорт устройств с сильным шифрованием #Freak Уязвимость

Шокирующе, но правда, пользователи Android, iPhone и Mac по всему миру подвергались риску безопасности на протяжении последних 10 лет, что позволяло хакерам красть пароли и другие личные данные из-за политики США, запрещающей экспорт устройств, содержащих “сильное шифрование” за пределы страны.

Исследователи, опубликовавшие свой отчет о SmackTLS, утверждают, что эта уязвимость существовала на протяжении 10 лет, и Google Inc. и Apple Inc. сейчас пытаются исправить эту уязвимость.

Группа криптографов из INRIA, Microsoft Research и IMDEA обнаружила серьезные уязвимости в клиентах OpenSSL (например, Android) и клиентах Apple TLS/SSL (например, Safari), которые позволяют атакующему “человек посередине” (MiTM) понизить соединения с “сильного” RSA до “экспортного” RSA. Исследователи утверждают, что эта уязвимость была возможна, потому что правительство США не хотело, чтобы зашифрованные устройства экспортировались за пределы Соединенных Штатов.

Любой пользователь Android, iPhone или Mac, который посещал государственные веб-сайты, такие как Whitehouse.gov, NSA.gov и FBI.gov, а также многие другие популярные веб-сайты по всему миру, подвергался этой уязвимости. Исследователи обнаружили, что уязвимость заставляла браузеры принимать легко взламываемый стандарт безопасности, а затем делала устройство уязвимым. Как только устройство становилось уязвимым, его могли захватить киберпреступники в течение нескольких часов, утверждают исследователи.

Объясняя всю концепцию, исследователи заявили, что из-за “экспортного” RSA дыра в безопасности веб-браузера позволила группе украсть пароли и личные данные у пользователей. Это также открыло двери для дальнейшей эксплуатации с массовой атакой.

Уязвимость безопасности, которая затрагивает веб-браузер Safari от Apple для iOS и Mac, а также стандартный веб-браузер Google для Android, не затрагивает Chrome и Internet Explorer.

Уязвимость, о которой впервые сообщила Washington Post, исправляется Apple в веб-браузере Safari в обновлении на следующей неделе. Google заявил, что уже предоставил патч для Android своим производителям смартфонов. Однако проблема для пользователей Android многообразна, так как им придется ждать, пока их производитель смартфонов выпустит патч, и большинство крупных и мелких производителей, похоже, не заинтересованы в выпуске таких патчей.

Также Google заявил, что не будет предоставлять патчи для смартфонов Android 4.3 Jellybean и ниже для компонента WebView, который является важной частью стандартного браузера Android. Поэтому эти более 1 миллиарда смартфонов останутся уязвимыми, если они находятся в обращении, потому что Google не будет предоставлять обновления для них.

Среди веб-сайтов FBI.gov и Whitehouse.gov были исправлены, согласно Cryptography Engineering, в то время как NSA.gov остается уязвимым для такой уязвимости.