Um grupo de cientistas da computação revelou esta semana uma perigosa brecha de segurança que afeta o OS X, iOS, Android e BlackBerry. Agora, a Microsoft confirma que a falha também está presente no Windows.
Ela foi chamada de FREAK, e permite que hackers descriptografem o tráfego HTTPS entre navegadores e milhões de websites. Para saber se seu smartphone ou computador está vulnerável, visite o site freakattack.com.
Os pesquisadores descobriram que podiam realizar um ataque a partir de sites supostamente seguros – desde bancos a sites do governo – e forçar navegadores a usar uma forma de criptografia mais fraca, cujas chaves secretas poderiam ser quebradas em questão de horas.
Como explica o Washington Post, hackers podem roubar senhas e outras informações pessoais, e até lançar um ataque mais amplo em sites ao assumir controle de elementos na página – como o botão “Curtir” do Facebook.
Navegadores vulneráveis
Estes são os navegadores vulneráveis por enquanto:
Chrome no OS X (até versão 40; baixe a versão 41)
Safari no OS X (Apple vai consertar na semana que vem)
Opera no OS X
Safari no iOS (Apple vai consertar na semana que vem)
Chrome no Android
navegador padrão do Android 4.3 ou inferior (Google enviou atualização para fabricantes)
BlackBerry Browser
Opera no Linux
Internet Explorer no Windows
Os navegadores que não estão na lista – por exemplo, o Firefox para Windows e o Chrome para iOS – não são vulneráveis.
Acreditava-se que o Windows estava imune à FREAK, mas não é o caso. A Microsoft avisa que o Internet Explorer é vulnerável em todas as versões do sistema desde o Vista – incluindo o Windows 7, 8 e RT. (O XP não é mencionado porque não recebe mais atualizações de segurança.) A falha ainda está para ser corrigida.
O Google não disse quando vai resolver o problema no Chrome para Android; a versão para OS X já foi corrigida. Opera e BlackBerry também não se manifestaram.
Como funciona
FREAK é a sigla em inglês para “fatorar chaves RSA de exportação”. Matthew Green, que ajudou na divulgação do estudo, explica que essa falha existe porque os EUA exigiam uma brecha na criptografia:
Nos anos 90, quando o SSL foi inventado pela Netscape, os EUA mantinham um controle rigoroso na exportação de sistemas de criptografia. Para distribuí-los fora dos EUA, as empresas eram obrigadas a deliberadamente “enfraquecer” a força de chaves de criptografia. Para a criptografia RSA, isso implicava um comprimento de chave máximo de 512 bits.
Essas restrições foram suspensas há mais de quinze anos, mas a criptografia fraca continuou embutida no software, e passou aparentemente despercebida até este ano.
Por isso, a criptografia do seu navegador é enfraquecida quando você usa uma chave RSA feita para exportação. E os pesquisadores descobriram algo insidioso: devido a um bug, você pode forçar um computador a aceitar essa chave, exibindo o tráfego web que deveria estar protegido.
Pesquisadores de segurança vasculharam mais de 14 milhões de sites protegidos por HTTPS e descobriram que 36% deles aceitam a chave fraca de segurança – ou seja, estão vulneráveis ao ataque.
Isto mostra o perigo de deixar brechas na criptografia por exigência do governo. Altos funcionários americanos, frustrados com a encriptação cada vez mais forte em smartphones, pediram para as empresas de tecnologia fornecerem backdoors, a fim de punir criminosos e permitir a espionagem. Mas essa falha de segurança pode, mais cedo ou mais tarde, ser usada por qualquer pessoa. [Ars Technica via The Next Web]
GizModo, UOL
Comente aqui