02 Abril 2015
Uma "nova" falha de segurança, que deixa informações de milhares de usuários vulneráveis, foi exposta em um relatório por especialistas em segurança. Nova entre aspas, pois ela tem estado presente em nosso dia a dia desde a década de 1990, e coloca autalmente em risco usuários da iOS, OS X e Android.
A falha, apelidada de FREAK (Factoring attack on RSA-EXPORT Keys, CVE-2015-0204), afeta o protocolo HTTPS nos navegadores Safari e o navegador padrão instalado no Android, além do Opera, entre outros. Google Chrome e Firefox não estariam vulneráveis.
Para os analistas de segurança que comentaram o assunto, basta que um browser aceite negociar com o padrão 512-bit RSA, quando requisitado pelo servidor. Vale lembrar que versões mais antigas de qualquer navegador pode estar vulnerável.
O problema todo surgiu devido à imposição do governo dos Estados Unidos, na época representado pela figura de Bill Clinton, que impedia todo e qualquer software desenvolvido no país para o mercado mundial tivesse criptografia superior a chaves de 512 bits. Essa política foi criada sob o argumento de combate ao terrorismo, e coisas semelhantes que já estamos cansados de ouvir. Ou seja, a falha de segurança era imposta para que o governo tivesse facilidade de acessar as redes de criminosos.
O problema é que a adoção dessa prática continua até hoje, sem necessidade. Ainda não há indícios de que a falha tenha sido explorada por hackers. As empresas já trabalham em uma correção. Especialistas de segurança, que publicaram o relatório sobre o problema nesta terça, afirmam que o bug facilita aos hackers o roubos de dados e informações confidenciais em uma página criptografada da web, como a senha do banco, por exemplo.
Quase um terço de todos os sites criptografados estaria vulnerável, até o momento de divulgação do relatório, incluindo sites de operadoras de cartão de crédito, bancos, lojas e governos nacionais. Para explorar esta falha, os hackers poderiam utilizar uma técnica de invasão chamada MITM (man-in-the-middle), acessando a mesma rede da vítima em hotspots Wi-Fi públicos, como em aeroportos, shoppings, cafeterias, etc.
A falha pode ser corrigida tanto nos navegadores vulneráveis quanto nos servidores dos sites que utilizam a criptografia. A Apple afirmou à Reuters que já está trabalhando em uma correção para seu navegador, e deverá entregar a atualização na semana que vem.
A Google diz que já consertou o problema no navegador para Android, mas se negou a comentar sobre a data em que os usuários poderão atualizar em seus aparelhos. Normalmente a Google não empurra diretamente suas atualizações do Android, mas conta com as fabricantes de cada dispositivo para isso.
O site freakattack.com disponibilizou uma lista dos servidores e sites que ainda estão afetados pelo “FREAK”, e pode informar se o navegador que você utiliza está seguro ou não.
Comentários