根據資安研究人員及新聞媒體指出,一個新發現的漏洞很可能從 90 年代就已延續至今。這個俗稱為 FREAK (Factoring RSA Export Keys) 的漏洞會導致安全連線降低加密強度,因而讓網路犯罪集團更容易解開加密的資訊。
從1990 年代存在至今的漏洞
此漏洞始於 1990 年代。當時,美國政府規定,凡是要出口的軟體「其使用的加密金鑰長度皆不得超過 512 位元」。根據研究人員的說法,這樣的加密強度在 90 年代或許足夠,但今日,一個 512 位元的 RSA 金鑰大約只要 7 小時就能破解,而且雲端上提供了龐大的運算效能,花個 100 美元就能買到。
儘管這項禁令在 90 年代後期即已解除,但有些 TLS 和 SSL 通訊協定軟體仍然支援這類所謂「出口等級」的加密模式。
FREAK 問題曝光
FREAK 漏洞是由法國巴黎 INRIA 機構的研究員 Karthikeyan Bhargavan 以及 miTLS (TLS 參考實作) 團隊所發現。他們發現 OpenSSL (1.0.1k 以前的版本) 與 Apple TLS/SSL 的用戶端都可能遭到中間人 (MITM) 攻擊。一旦含有漏洞的用戶端與伺服器之間的 HTTPS 連線遭到駭客從中攔截,駭客就能強迫連線採用老舊的出口等級加密方式。
如此一來,從中「竊聽」的駭客,就能更輕鬆地解開攔截到的資訊。
Apple 的 SecureTransport 軟體元件廣泛運用在 iOS 和 OS X 的應用程式當中,包括 iPhone、iPad 和 Mac 上隨附的 Safari 瀏覽器。至於 Android 的 OpenSSL 軟體元件也廣泛運用在瀏覽器及其他應用程式當中。就趨勢科技了解,只有含有 CVE-2015-0204 漏洞的 OpenSSL 版本才會遭到這項攻擊。 繼續閱讀