FREAK, la grave vulnerabilità TLS/SSL presente in Chrome, Android e Safari su iOS e OS X.


In questi giorni alcuni esperti in crittografia hanno scoperto una grave vulnerabilità che potrebbe essere sfruttata per intercettare il traffico HTTPS tra dispositivi sia Android che Apple e milioni di siti web. In pratica si tratta del bug FREAK, (acronimo di Factoring attack on RSA-EXPORT Keys), che risulta presente in Google Chrome, (fino alla versione 40), nel browser di fabbrica di Android, in Safari su iOS ed OS X, e nelle versioni di OpenSSL antecedenti alla 1.0.1k. Ad ogni modo per conoscere le origini e la natura di questa vulnerabilità bisogna tornare indietro di oltre 20 anni, e per la precisione durante il primo mandato Clinton, quando gli Stati Uniti avevano vietato l'esportazione di software ed hardware che supportavano algoritmi di crittografia forte. In sostanza, secondo i suddetti crittografi, l'obbligo di utilizzare chiavi RSA a 512 bit era stato imposto per consentire alla NSA, (ossia la nota agenzia governativa USA per la sicurezza nazionale coinvolta nel famoso caso "Datagate"), di decifrare tutte le comunicazioni straniere. All'epoca gli sviluppatori del protocollo SSL avevano quindi implementato il supporto per le cosiddette "commercial-grade keys", usate negli Stati Uniti, e le cosiddette "export-grade keys", usate negli altri Paesi. Tuttavia, sebbene quel vincolo sia stato rimosso tempo fa, molti software e siti web utilizzano ancora chiavi RSA a 512 bit per cifrare il traffico HTTPS; motivo per il quale i cybercriminali possono intercettare le connessioni tra client e server, forzarli ad usare la crittografia debole e decifrare il traffico in poche ore. Difatti nei casi in cui viene sfruttato il bug FREAK per loro rubare password ed altre informazioni personali diventa un gioco da ragazzi: oltre agli attacchi "man in the middle", i malintenzionati possono eseguire anche attacchi XSS, iniettando un codice JavaScript nei siti web più popolari, tra cui Facebook. Comunque sia, anche se Apple ha fatto sapere che rilascerà una patch entro la prossima settimana, e Google ha fatto sapere di aver già distribuito gli appositi fix ai propri partner, il sito FREAK Attack permette di verificare se il proprio dispositivo è vulnerabile, detta alcune linee guida sul da fare ed elenca, infine, i siti, (presenti anche nella Alexa Top 10K), che usano ancora le chiavi RSA a 512 bit.

Commenti