又一重大漏洞现身 “疯怪”危及世界互联网安全

安全 漏洞
安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。

安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。

该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。

问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后,由于有些软件仍旧依赖于旧版加密协议,出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”,从而使其易于攻破。

很多谷歌和苹果的产品,以及嵌入式系统都使用OpenSSL协议,这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险,疯怪(FREAK)漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。

又一重大漏洞现身 “疯怪”危及世界互联网安全

当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者利用公有云服务将很容易破解这些短密钥。

上世纪90年代,破解512位密钥需要大量计算;如今利用亚马逊弹性计算云,则只需要大约7小时,花费100美元。

企业在修补漏洞方面动作迅速。苹果和谷歌均表示,已经开发了补丁,并将很快向用户推送。CDN服务商Akamai公司的负责人表示,已经对其网络进行修补,但是很多客户端仍暴露在风险中。“我们没办法修补客户端,但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端,我们已经在和客户联系,让他们进行变更了”。

该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。

责任编辑:蓝雨泪 来源: 安全牛
相关推荐

2020-12-07 10:29:27

5G工业互联网网络安全

2020-04-09 16:46:58

iOS 13.4苹果系统更新

2012-10-26 09:48:28

2015-01-06 14:09:00

2019-10-14 16:01:47

运营商周边业务5G

2011-08-19 11:33:32

2011-04-01 16:59:20

2011-05-18 10:31:12

2015-05-28 13:58:33

2015-11-03 21:39:01

2013-02-05 16:34:36

谷歌国际互联网安全日

2016-10-10 20:05:59

云计算

2013-01-14 14:02:11

2014-01-06 14:54:51

2017-01-04 13:56:58

2009-12-26 20:56:24

2011-12-05 15:16:08

2013-04-12 13:29:54

互联网安全

2015-06-24 15:35:54

点赞
收藏

51CTO技术栈公众号