Οι χρήστες συσκευών Android και Apple είναι ευάλωτοι στην υποκλοπή κρυπτογραφημένων επικοινωνιών λόγω κενού ασφάλειας που χρονολογείται στη δεκαετία του 1990, προειδοποιούν ερευνητές ασφάλειας.
Το πρόβλημα, λένε οι ειδικοί που το ανακάλυψαν, χρονολογείται στην εποχή που οι ΗΠΑ απαγόρευαν την εξαγωγή ισχυρών συστημάτων κρυπτογράφησης -τα αμερικανικά προϊόντα που προορίζονταν για άλλες χώρες χρησιμοποιούσαν υποχρεωτικά πιο αδύναμα κλειδιά κρυπτογράφησης, μήκους 512 bit.
Η απαγόρευση της δεκαετίας του 1990 έχει πλέον αρθεί, και τα σημερινά κλειδιά κρυπτογράφησης είναι πολύ ασφαλέστερα με μήκος 2.048 bit. Το πρόβλημα όμως παραμένει, καθώς πολλοί δικτυακοί τόποι που προσφέρουν κρυπτογραφημένες συνδέσεις HTPPS, καθώς και ορισμένοι browser, είναι προγραμματισμένοι να δέχονται τα αδύναμα κλειδιά.
Το κενό ασφάλειας «είναι βασικά ένα ζόμπι από τη δεκαετία του 1990» λέει στη Washington Post η Νάντια Χένινγκερ, κρυπτογράφος του Πανεπιστημίου της Πενσιλβάνια που μελέτησε το θέμα.
Η ίδια χρειάστηκε μόλις 7,5 ώρες για να σπάσει ένα κλεμμένο κλειδί των 512 bit, χρησιμοποιώντας την υπηρεσία cloud της Amazon με χρέωση 104 δολαρίων.
Το κενό ασφάλειας, με την ονομασία FREAK (Factoring attack on RSA-EXPORT Keys) επιτρέπει σε χάκερ να συνδέονται σε ευάλωτους δικτυακούς τόπους και να βρίσκουν τα ασθενή κλειδιά των 512 bit. Αφού σπάσουν τα κλειδιά, μπορούν να υποκλέπτουν τις επικοινωνίες ανάμεσα στο δικτυακό τόπο και τους χρήστες που συνδέονται με ευπαθείς browser.
Το πρόβλημα εντοπίζεται σε όλες τις εκδόσεις του Safari, καθώς και στους browser που χρησιμοποιούνται σε συσκευές Android. To πρόγραμμα Google Chrome για PC είναι απαλλαγμένο από την ευπάθεια.
Ανοιχτοί σε επιθέσεις είναι επίσης περίπου πέντε εκατομμύρια δικτυακοί τόποι που προσφέρουν κρυπτογραφημένες συνδέσεις με την ένδειξη HTPPS. Ανάμεσά τους, ο δικτυακός τόπος της αμερικανικής Εθνικής Υπηρεσίας Πληροφοριών NSA.
Σύμφωνα με το περιοδικό Forbes, το πρόβλημα ανακαλύφθηκε από τη Microsoft και το Γαλλικό Ινστιτούτο Έρευνας Επιστήμης Υπολογιστών και Αυτοματισμού. Στην έρευνα συμμετείχε και ο Μάθιου Γκριν, γνωστός κρυπτογράφος στο Πανεπιστήμιο Τζονς Χόπκινς. Όπως είπε, η κυβέρνηση των ΗΠΑ απαγόρευε την εξαγωγή ισχυρών συστημάτων κρυπτογράφησης όχι μόνο για να προστατεύσει τις αμερικανικές κυβερνητικές επικοινωνίες, αλλά και για να διευκολύνει τις παρακολουθήσεις ξένων στόχων από την NSA.
Παραμένει άγνωστο αν το κενό ασφάλειας έχει αξιοποιηθεί σε επιθέσεις.
Η Apple ανακοίνωσε ότι θα διαθέσει μπάλωμα ασφάλειας την επόμενη εβδομάδα, τόσο για τις φορητές συσκευές όσο και για τους υπολογιστές της, ενώ η Google ανακοίνωσε ότι έχει έτοιμη τη λύση και την έχει διανείμει στους κατασκευαστές συσκευών Android.
in.gr
Aκολουθήστε μας στο Google News
Οι τελευταίες ειδήσεις από την Κύπρο και τον κόσμο και όλη η επικαιρότητα στο dialogos.com.cy
