日前由專業資安研究人員組成的研究計畫 miTLS 發現多個 SSL 漏洞,其中一個讓黑客能夠對 Android、iOS 與 Mac OSX 系統進行 XSS 攻擊,大片用戶頓受威脅。
缺陷沿於 90 年代技術出口管制
被 miTLS 發現將對 Android、iOS 及 Mac OSX 用戶造成威脅的漏洞名為 FREAK (Factoring RSA Export Keys),漏洞編號為 CVE-2015-0204。據美國國家漏洞資料庫指,FREAK 存在於 OpenSSL 1.0.1k 及更早的版本,
上述漏洞使黑客能夠遙距對 SSL 伺服器進行攻擊,暴力破解加密防護:當流量加密被破解後,用戶以為非常安全的通訊內容就將在黑客面前無所遁形。
研究人員解釋指,此類型漏洞的攻擊主要針對被刻意削弱的出口密碼套裝 (export cipher suite)。此種演算法為美國政府於 1990 年代為讓 NSA 能夠破解所有外國通訊的加密技術而發展的技倆:而真正具保安性的加密演算法則因被視為戰爭武器而禁止出口。
由於當時出口的 RSA 金鑰長度必須少於 512 bit,故此現在只要以 50 美元租用 Amazon EC2 服務,就可以於 12 小時內成功解密。
更諷刺的是,不少美國境內的政府機關:包括 NSA、FBI、白宮、IBM、Symantec 等大名的網站或伺服器均在沿用上述具缺陷的出口密碼套裝,研究人員因而得以順利對上述服務進行攻擊。
可幸的是,最新的 OpenSSL 1.02 已修補此漏洞;而安全人員亦呼籲各位 Android 用戶改用 Chrome 作為瀏覽器,而 Apple 與 Google 亦已表示正研發修正檔,Apple 發言人 Ryan James 指 Apple 用戶將可以於下星期收到修補程式;而 Google 則暫時未有就推出修補程式定出明確的時間。
Source:SMACK TLS