Исследователи недавно обнаружили серьезную уязвимость в программном обеспечении, созданном компаниями, такими как Google и Apple, что делает многие устройства уязвимыми для попыток взлома, сообщает The Washington Post. Уязвимость под названием «FREAK» (Factoring Attack on RSA-EXPORT Keys) связана с политикой правительства США, которая когда-то запрещала компаниям экспортировать сильное шифрование, требуя от них вместо этого создавать слабые продукты «экспортного класса» для отправки клиентам за пределами Соединенных Штатов.
Эти ограничения были сняты более десяти лет назад, но более слабое шифрование продолжало использоваться компаниями-разработчиками программного обеспечения в результате старой политики, и оно даже было встроено в программное обеспечение в США. Существование сохранявшегося «экспортного» шифрования оставалось незамеченным до этого года, когда исследователи обнаружили, что они могут принудить браузеры использовать более слабое 512-битное шифрование, а затем взломать его.
Хакеры потенциально могли бы использовать ту же тактику, взламывая слабое шифрование, а затем крадя пароли и другую информацию. Исследователи также полагают, что уязвимость может быть использована для запуска атак на крупные веб-сайты и проникновения в них. В ходе тестирования ключ шифрования экспортного класса был взломан за семь часов с использованием компьютеров, и более четверти зашифрованных сайтов оказались уязвимыми.
«Мы, конечно, думали, что люди перестали его использовать», — сказал Картикейян Бхаргаван, исследователь из французской лаборатории компьютерных наук INRIA, чья команда изначально обнаружила проблему во время тестирования систем шифрования.
Надя Хенингер, криптограф из Университета Пенсильвании, сказала: «Это, по сути, зомби из 90-х… Я не думаю, что кто-либо действительно осознавал, что кто-то все еще поддерживает эти экспортные наборы».
Как отмечается в The Washington Post, уязвимость FREAK является примером проблем, которые могут возникнуть, когда правительство вмешивается в безопасность устройств. Представители правительства недавно выразили обеспокоенность по поводу функций конфиденциальности, которые Apple и Google встраивают в свои смартфоны в ответ на возмущение по поводу секретных правительственных программ наблюдения, таких как PRISM.
Директор ФБР Джеймс Коми сделал замечания, предполагающие, что Apple и Google должны ограничить шифрование, поскольку доступ правительства к электронным устройствам в некоторых случаях необходим. Он заявил, что для правительства может быть «очень, очень важно» иметь возможность проникнуть в устройство похитителя, преступника или террориста.
Исследователи, обнаружившие уязвимость, уведомили правительственные сайты и крупные технологические компании для устранения проблемы до того, как она стала широко известной. FBI.gov и Whitehouse.gov были исправлены, и, по словам представителя Apple Трюди Миллер, Apple готовит патч безопасности, который будет «развернут на следующей неделе как для компьютеров, так и для мобильных устройств».
