「怪胎」威脅 SSL 安全　Android、iOS、OSX 用戶無一倖免

日前由專業資安研究人員組成的研究計畫 miTLS 發現多個 SSL 漏洞，其中一個讓黑客能夠對 Android、iOS 與 Mac OSX 系統進行 XSS 攻擊，大片用戶頓受威脅。

缺陷沿於 90 年代技術出口管制

被 miTLS 發現將對 Android、iOS 及 Mac OSX 用戶造成威脅的漏洞名為 FREAK (Factoring RSA Export Keys)，漏洞編號為 CVE-2015-0204。據美國國家漏洞資料庫指，FREAK 存在於 OpenSSL 1.0.1k 及更早的版本，

上述漏洞使黑客能夠遙距對 SSL 伺服器進行攻擊，暴力破解加密防護：當流量加密被破解後，用戶以為非常安全的通訊內容就將在黑客面前無所遁形。

研究人員解釋指，此類型漏洞的攻擊主要針對被刻意削弱的出口密碼套裝 (export cipher suite)。此種演算法為美國政府於 1990 年代為讓 NSA 能夠破解所有外國通訊的加密技術而發展的技倆：而真正具保安性的加密演算法則因被視為戰爭武器而禁止出口。

由於當時出口的 RSA 金鑰長度必須少於 512 bit，故此現在只要以 50 美元租用 Amazon EC2 服務，就可以於 12 小時內成功解密。

更諷刺的是，不少美國境內的政府機關：包括 NSA、FBI、白宮、IBM、Symantec 等大名的網站或伺服器均在沿用上述具缺陷的出口密碼套裝，研究人員因而得以順利對上述服務進行攻擊。

可幸的是，最新的 OpenSSL 1.02 已修補此漏洞；而安全人員亦呼籲各位 Android 用戶改用 Chrome 作為瀏覽器，而 Apple 與 Google 亦已表示正研發修正檔，Apple 發言人 Ryan James 指 Apple 用戶將可以於下星期收到修補程式；而 Google 則暫時未有就推出修補程式定出明確的時間。

Source：SMACK TLS