|
В клиентските и сървърните реализации на TLS/SSL бе разкрита нова критична уязвимост, но която бе дадено името FREAK. С нейна помощ е възможно прихващането на защитената връзка и форсираното използване на по-слабо криптиране чрез "експортния" комплект шифри RSA EXPORT. 
Уязвими към тази атака са всички популярни OpenSSL-клиенти - браузърът Safari на Apple, всички Android-устройства и още много други. Пови се информация, че към тази атака са уязвими огромен брой държавни сайтове, включително сайтовете на АНС, Белия дом, Данъчната агенция на САЩ и други. Създаден е специален сайт (ssllabs.com/ssltest), с помощтта на който се извършва проверка за уязвимост на собствения уеб-сайт.Оказа се, че тази уязвимост съществува от много години. Тя е резултат от ограниченията, наложени върху експортирането на устойчива криптография от САЩ към другите държави, които са в сила още от миналия век. На практика, самата SSL технология е разработена с вградена възможност за тази атака. Благодарение на тази уязвимост, създателите на SSL - Netscape Corporation са избегнали ограниченията в експорта и са получили възможност да разпространяват своя браузър извън територията на САЩ.Предполагаше се, че към днешен ден съвременните браузъри не използват този протокол, но сега стана ясно, че е възможно осъществяването на класическа MiTM атака, чрез която TLS клиентът се принуждава да използва друг вид шифроване. |
|
