Chyba slabého šifrování FREAK ohrožuje i aplikace na Google Play a App Store
18.3.2015, Milan Šurkala, aktualita
Nedávno vyšlo najevo, že existuje možnost jak snížit délku šifrovacího klíče u SSL, čehož pak lze využít ke snazšímu rozluštění kódu. Tehdy se hovořilo zejména o operačních systémech a prohlížečích, problém se však neméně tak týká mobilních aplikací.
Před necelými dvěma týdny se začalo hovořit o možnosti útoku FREAK, který využívá toho, že v 90. letech nebylo možné z USA "vyvážet" software, který by podporoval plnou délku SSL klíče (dnes např. 2048 bitů). Tehdy bylo možné využít maximálně 512bitový veřejný asymetrický a 40bitový symetrický klíč. Spousta softwaru dodnes umožňuje přepnout se na méně zabezpečené SSL s kratším klíčem, čehož mohou využít útočníci. Pokud se jim podaří obě komunikující strany donutit přejít na slabší šifru, není už tak velký problém rozlousknout komunikaci, která je slaběji šifrována.
Doposud se mluvilo o operačních systémech a internetových prohlížečích, jak ale ukazují poslední výzkumy, je to docela častý problém i u mobilních aplikací na Google Play nebo App Store. Výzkumníci z FireEye si vzali na paškál aplikace s více než milionem stažení z Google Play. Celkem otestovali 10985 aplikací a 1228 z nich mohlo být napadeno útokem FREAK. Více než polovina z nich (přesněji 664 aplikací) využívala OpenSSL operačního systému Google Android. Pokud jde o iOS a aplikace z App Store, zde bylo otestováno 14079 aplikací a zranitelnými se jevilo 771 z nich. Většinou to platilo jen tehdy, když běžely na operačním systému starším než iOS 8.2.
Zdroj: pcworld.com, arstechnica.com
Doposud se mluvilo o operačních systémech a internetových prohlížečích, jak ale ukazují poslední výzkumy, je to docela častý problém i u mobilních aplikací na Google Play nebo App Store. Výzkumníci z FireEye si vzali na paškál aplikace s více než milionem stažení z Google Play. Celkem otestovali 10985 aplikací a 1228 z nich mohlo být napadeno útokem FREAK. Více než polovina z nich (přesněji 664 aplikací) využívala OpenSSL operačního systému Google Android. Pokud jde o iOS a aplikace z App Store, zde bylo otestováno 14079 aplikací a zranitelnými se jevilo 771 z nich. Většinou to platilo jen tehdy, když běžely na operačním systému starším než iOS 8.2.
Zdroj: pcworld.com, arstechnica.com