O melhor pedaço da Maçã.

Apple promete correção para falha de segurança “FREAK”, a qual afeta o protocolo HTTPS

Hacker usando laptop

Um novo dia, uma nova falha de segurança. Desta vez trata-se de uma relacionada ao protocolo HTTPS (um bug no OpenSSL), afetando neste momento tanto os sistemas operacionais da Apple quanto do Google. Ou seja, usuários de OS X, iOS e Android estão sob risco.

Publicidade

Chamada de “FREAK” (Factoring attack on RSA-EXPORT Keys, CVE-2015-0204), a falha de segurança não é nova e na verdade foi “imposta” pelos Estados Unidos na década de 1990. Naquela época, o governo Clinton decidiu que todo e qualquer software exportado do país não tivesse criptografia superior a chaves de 512 bits. O problema é que essa prática continua desnecessariamente em uso até hoje.

Hacker usando laptop

Hacker usando laptop, via Shutterstock.

Publicidade

Para explorar o bug, crackers precisam estar conectados à mesma rede que o usuário. Ou seja, hotspots Wi-Fi públicos — como em aeroportos, shoppings, cafeterias, etc. — são um prato cheio para tal. A invasão é do tipo MITM (man-in-the-middle) e consiste em mascarar um site falso como seguro, obtendo assim informações valiosas do usuário. Não há casos relatados de pessoas que tenham sido prejudicadas por essa falha específica.

O especialista em segurança Patrick Tracanelli [@eksffa] explica melhor:

Apesar de ter uma relação estranha com sites de governo, a notícia não se aplica especificamente ou apenas a nenhum tipo de site. Qualquer um que negocie criptografia fraca pode propor isso com o navegador e explorar a vulnerabilidade de alguma forma. Para isso, você pode precisar criar uma “armadilha”, e aí vêm os ataques mais comuns contra aplicação e contra navegador, como XSS e CRF (que são injeção de instruções, normalmente JavaScript, no lado navegador). Se o site permitir injeção XSS e CRF ou suas variações, e o navegador acreditar que é o servidor quem está solicitando negociação com uma criptografia mais fraca, aí todo website em potencial pode ser usado no ataque contra um browser assim.

A falha pode ser corrigida tanto nos servidores dos sites (o nosso, por exemplo, já está protegido graças à CloudFlare), quanto nos navegadores (o OS X pode estar vulnerável, mas o Firefox já está protegido) quanto nos sistemas operacionais em si. À Reuters, a Apple já disse que está trabalhando numa correção geral e que a disponibilizará em breve para todos os usuários.

Publicidade

O site freakattack.com lista servidores e sites que ainda estão afetados pelo “FREAK”, bem como indica se o seu navegador está seguro ou não.

O Patrick conclui:

Não vejo a falha como sendo de ampla exploração. Nem tem motivo pra falar em específico de Safari e Android — a não ser, é claro, que os nomes de Apple e Google sempre dão audiência, associado a mobile mais ainda. Potencialmente a falha pode ser explorada em qualquer sistema, mobile ou não, que rode clientes (browsers) os quais aceitem negociar com cypher fraco, 512-bit RSA, ou seja versões do Safari, do Firefox, do Opera, do Internet Explorer, etc. que aceitem negociar criptografia fraca quando proposto pelo servidor.

Sob diversos aspectos, é mais do mesmo. A falha explora o mesmo vetor de fragilidades que no passado geraram ataques como BEAST, CRIME e BREACH, só que desta vez com um nível de criticidade menor, afetando uma quantidade menos expressiva de servidores e clientes.

Quem não quer correr esse tipo de risco quando conectando a redes Wi-Fi públicas pode sempre usar uma conexão VPN criptografada. Pessoalmente, recomendo isso independentemente de “FREAK” ou qualquer outro bug que já tenha sido corrigido.

[via MacRumors]

Ver comentários do post

Compartilhe este artigo
URL compartilhável
Post Ant.

↪ Antes mesmo de chegar ao mercado, Apple Watch ganha importante prêmio de design

Próx. Post

Ofertas do dia na App Store: ComicBook!, Toca Lab, PaceDJ e mais!

Posts Relacionados