Bug funnet i diverse SSL/TLS implementasjoner gjør det mulig å avlytte https-sesjoner vha. man-in-the-middle angrep og bruk av svak krypteringsalgoritme. Svakheten er kjent som FREAK, og rammer i hovedsak Android og iOS/OS X enheter.
FREAK - Ny alvorlig svakhet i mange SSL/TLS implementasjoner.
| Forskere har oppdaget en bug i en rekke implementasjoner av SSL og TLS som gjør det mulig for en angriper å avlytte krypterte forbindelser vha. et Man-In-The-Middle (MITM) angrep. Dette er mulig ved å utnytte en bug som finnes i enkelte SSL/TLS-klienter og som går ut på å fremtvinge nedgradering til en gammel, svak krypteringsalgoritme mellom klient og server ved oppsett av en sikker sesjon. Nøklene som da benyttes (såkalte 512-bits RSA export nøkler), kan så knekkes for en lav kostnad ila. få timer vha. skybaserte tjenester. For at angrepet skal fungere må både klient og server støtte bruk av "RSA export-keys". Angrepet rammer i hovedsak Android og iOS/OS X enheter. Sårbare leverandører jobber med å fikse svakheten. |
||||
| Referanser | ||||
|---|---|---|---|---|
|
http://arstechnica.com/security/2015/03/freak[...] http://www.washingtonpost.com/blogs/the-switc[...] http://blog.cryptographyengineering.com/2015/[...] |