FREAK, una nuova importante falla di sicurezza che ha lasciato gli utenti dei dispositivi Apple e Google esposti agli attacchi Man In The Middle (MITM) anche se visitano siti web apparentemente sicuri
Il mondo dell’IT si trova ad affrontare una nuova importante vulnerabilità di sicurezza per i protocolli SSL/TLS che per più di un decennio ha lasciato gli utenti di dispositivi Apple e Google vulnerabili all’hacking anche se stavano visitando siti web legittimi e sicuri . Al momento, gli esperti sostengono che i dispositivi Windows e Linux non sono interessati .
La vulnerabilità critica, il cui nome in codice è FREAK (CVE – 2015-0204 ), nota anche come Factoring Attack on RSA – EXPORT Keys , può essere sfruttata per l’esecuzione di attacchi man-in -the-middle contro il traffico crittografato anche quando gli utenti visitano siti presumibilmente protetti.
Sfruttando la falla FREAK, si obbliga a utilizzare un algoritmo di cifratura più vecchio e più debole, quindi si può decifrare il traffico protetto con crittografia a chiave 512-bit in poche ore. Una volta decifrato il traffico, il malintenzionato può rubare informazioni sensibili o lanciare un attacco iniettando codice dannoso.
La vulnerabilità FREAK è stata scoperta dai ricercatori dell’Istituto francese per la Ricerca in Informatica e Automazione (INRIA) e Microsoft; colpisce sia OpenSSL versioni 1.01k e precedenti, sia Apple Secure Transport.
Nel 1990 era permessa un lunghezza massima della chiave di 512 bit per la crittografia “export – grade “; la situazione è cambiata nel 2000, a causa di una modifica delle leggi statunitensi sulle esportazioni . A partire dal 2000 i vendor hanno permesso di includere cifrari a 128 bit nei prodotti che facevano uso di crittografia e che sono stati distribuiti in tutto il mondo. Gli esperti che hanno trovato la vulnerabilità FREAK hanno scoperto che il supporto della crittografia “export – grade ” non è mai stato rimosso. Il professore assistente di ricerca di Matthew Green del Johns Hopkins University’s Information Security Institute ha fornito una spiegazione dettagliata dell’attacco FREAK in un post sul blog che spiega come eseguire un attacco MITM sfruttando la vulnerabilità.
Una scansione di oltre 14 milioni di siti web che supportano i protocolli SSL / TLS ha rivelato che la vulnerabilità FREAK colpisce quasi il 36 per cento dei siti web SSL.In un classico scenario di attacco che sfrutta la vulnerabilità FREAK , la vittima che usa un dispositivo vulnerabile (smartphone Android , iPhone e Mac con sistema operativo Apple OS X) visita un sito web HTTPS che pur essendo protetto è vulnerabile .La buona notizia è che Google ha già distribuito una patch per il suo sistema operativo Android, la correzione è già stata distribuita ai partner. Apple ha annunciato di aver sviluppato un fix per la falla FREAK e che lo distribuirà nel prossimo aggiornamento.
[…] è di 120.000, ma aspetto più preoccupante della ricerca è che quasi un milione di certificati SSL ancora oggi si basano sull’algoritmo di hashing ritenuto non più sicuro, e le CA continuano ad […]
[…] Secrecy HTTPS è per esempio utilizzato dai servizi Google come Gmail, Docs and […]
[…] un web server configurato per usare SSLv2, e in particolare se utilizza l’implementazione OpenSSL (anche quando tutte le cifre SSLv2 sono disabilitate!), si può essere vulnerabili ad un attacco in […]