Обнаруженная уязвимость получила название FREAK. С ее помощью хакеры могут заставить браузеры использовать более слабое шифрование, чем принято обычно. Это позволяет злоумышленникам взломать программу за считаные часы и получить доступ к чужим личным данным, а также возможность управлять содержимым страниц в браузере.
Отмечается, что уязвимость касается только браузеров компании Apple и предустановленного браузера Android. При этом последние версии браузеров Google Chrome, Mozilla и Internet Explorer не могут быть атакованы при помощи FREAK.
По мнению исследователей, найденный недостаток в ПО связан со сложностями американского законодательства в этой области, поскольку оно не совершенствовалось более десяти лет. Согласно действующим требованиям, разработчики программ вынуждены использовать несовершенные системы шифрования, если их продукт продается за рубежом. Это правило обусловлено интересами национальной безопасности США.
Как пишет TJ, американские спецслужбы опасались, что не смогут расшифровать слишком стойкий шифр, если понадобится вести слежку за пользователями в других странах. Несмотря на то, что требование не применять сильную криптозащиту в экспортных продуктах было снято в конце прошлого века, более слабое шифрование было интегрировано в множество программ и оставалось незамеченным публикой до недавнего времени.
По словам сотрудника Университета Мичигана Закира Дурумерича, около трети всех сайтов, использующих шифровку, по состоянию на 3 марта были уязвимы через FREAK. В их число вошли сайты American Express, Groupon и ряд страниц государственных ведомств.
Исследователи также запустили специальный сайт, на котором можно проверить, уязвим ли используемый браузер перед атакой FREAK. Кроме того, там размещен список сайтов, соединение с которыми в данный момент может быть подвержено слежке. Всего таких серверов около 36,7% от общего количества сайтов с сертификатом безопасности, однако среди первого миллиона рейтинга Alexa их количество снизилось с 12,2% до 9,7% после того, как информация о FREAK стала широко известной.
Apple и Google уже пообещали выпустить обновления, исправляющие ошибку. Apple планирует выпустить обновление на следующей неделе, а представители Google сообщили, что передали обновление всем производителям устройств с их операционной системой.