Https 的「FREAK」漏洞連全球知名網站都受害,愛評網和鉅亨網也上榜

作者 | 發布日期 2015 年 03 月 06 日 17:42 | 分類 網路 , 資訊安全
Computer-Password-Security-Hacker

資安專家發現一項存在長達十年的安全漏洞,能夠解碼 HTTPS 保護的網頁流量,從中竊取使用者密碼,對使用者發動中間人攻擊。不少知名新聞網站像 Business Insider 受影響,而台灣有愛評網和鉅亨網檢測出問題。




這項 FREAK 漏洞來自美國限制強加密技術的出口。在 1990 年之前,加密技術要出口的話,被限制最多只能用到 512 位元,雖然這項禁令在 1990 年代已經解禁,但是不少這些薄弱的加密技術輸出美國後,因緣際會回到美國,造成相關產品的加密程度降低,如此導致 SSL/TLS 標準安全不足。512 位元的加密程度,其實只要一位熟練的破解密碼人員,加上如今唾手可得的雲端運算,像是能夠輕易的承租 Amazon 的服務達成,花費的時間只要七小時。

密西根大學的電腦科學家 J. Alex Halderman 和 Zakir Durumeric,列舉有 RSA Export Suites 漏洞的網站清單,這些網站都會受 FREAK 漏洞影響。其中有不少知名新聞站如 Business Insider 以及 NPR 上榜。仔細看這份清單,台灣有愛評網和鉅亨網上榜。

市面上主要的瀏覽器如 Chrome 和 Firefox 不會受到影響,但是 Google 的 Android 內建瀏覽器會受影響,而 Google 回應他們會提供修補程式給他們的合作廠商。如此作法無法保證 Andriod 用戶的安全,因為 Google 無法控制每位用戶的安全更新機制,得透過手機商才行。蘋果則著手安全修補,預計下週會發佈。

如今不只有 Google 或者蘋果會受影響,使用人數相當多的微軟也被爆也會受 FREAK 影響。微軟出面承認 Windows 也有 FREAK 漏洞,目前著手修復中。

關鍵字: , ,

發表迴響