ワシントンポスト紙 は、AppleのSafariやGoogleのAndroid AOSPブラウザを含む一部のソフトウェアに「FREAK」と呼ばれる重大なセキュリティ欠陥が研究者によって発見され、多くのデバイスがハッキング攻撃に対して脆弱になっていると報じている。
マックルーマーズ:
「FREAK」(RSA-EXPORTキーに対するファクタリング攻撃)と呼ばれるこの脆弱性は、かつて企業が強力な暗号化技術を輸出することを禁じ、代わりに米国外の顧客に出荷する弱い「輸出グレード」の製品を作成することを義務付けていた米国政府の政策に起因しています。
10年以上前に制限が解除されましたが、ソフトウェア企業は依然として弱い暗号化を使い続け、米国向けのソフトウェアにも使用されていました。「輸出グレード」の暗号化が依然として存在していたことは、最近まで注目されていませんでした。研究者たちは、ブラウザに低レベルの暗号化を強制的に使用させ、それを解読できることを発見しました。
ハッカーは同じ戦術を使って、パスワードなどの個人情報を盗んだり、ウェブサイトに攻撃を仕掛けたりする可能性があります。テストでは、輸出グレードの暗号鍵は7時間で解読され、暗号化されたサイトの4分の1以上が脆弱であることが判明しました。
「当然、人々が使用をやめるだろうと考えていた」と、フランスのコンピューター科学研究所INRIAの研究員で、暗号化システムのテスト中にこの問題を最初に発見したカルティケヤン・バルガヴァン氏は述べた。
AppleはiOSとOS Xの両方でこの問題に対するクライアント側パッチを作成中で、おそらく来週までに完成するだろう。一方、この欠陥を発見したINRIA、IMDEA、Microsoftの研究者は、依然として輸出用暗号を提供しているホストに通知する作業を進めている。
