Https 的「FREAK」漏洞連全球知名網站都受害,愛評網和鉅亨網也上榜

Https 的「FREAK」漏洞連全球知名網站都受害,愛評網和鉅亨網也上榜

資安專家發現一項存在長達十年的安全漏洞,能夠解碼 HTTPS 保護的網頁流量,從中竊取使用者密碼,對使用者發動中間人攻擊。不少知名新聞網站像 Business Insider 受影響,而台灣有愛評網和鉅亨網檢測出問題。

這項 FREAK 漏洞來自美國限制強加密技術的出口。在 1990 年之前,加密技術要出口的話,被限制最多只能用到 512 位元,雖然這項禁令在 1990 年代已經解禁,但是不少這些薄弱的加密技術輸出美國後,因緣際會回到美國,造成相關產品的加密程度降低,如此導致 SSL/TLS 標準安全不足。512 位元的加密程度,其實只要一位熟練的破解密碼人員,加上如今唾手可得的雲端運算,像是能夠輕易的承租 Amazon 的服務達成,花費的時間只要七小時。

密西根大學的電腦科學家 J. Alex Halderman 和 Zakir Durumeric,列舉有 RSA Export Suites 漏洞的網站清單,這些網站都會受 FREAK 漏洞影響。其中有不少知名新聞站如 Business Insider 以及 NPR 上榜。仔細看這份清單,台灣有愛評網和鉅亨網上榜。

市面上主要的瀏覽器如 Chrome 和 Firefox 不會受到影響,但是 Google 的 Android 內建瀏覽器會受影響,而 Google 回應他們會提供修補程式給他們的合作廠商。如此作法無法保證 Andriod 用戶的安全,因為 Google 無法控制每位用戶的安全更新機制,得透過手機商才行。蘋果則著手安全修補,預計下週會發佈。

如今不只有 Google 或者蘋果會受影響,使用人數相當多的微軟也被爆也會受 FREAK 影響。微軟出面承認Windows 也有 FREAK 漏洞,目前著手修復中。

相關連結

“FREAK” flaw in Android and Apple devices cripples HTTPS crypto protection

‘FREAK’ flaw undermines security for Apple and Google users, researchers discover

Stop the presses: HTTPS-crippling “FREAK” bug affects Windows after all

 

Https 的「FREAK」漏洞連全球知名網站都受害,愛評網和鉅亨網也上榜

TechNews科技新報
使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則