Tutkijat ovat löytäneet vakavan haavoittuvuuden, joka koskee Applen selaimia sekä Android-laitteita. Haavoittuvuus on ollut olemassa jo toistakymmentä vuotta, mutta se nousi esille vasta hiljattain.
”FREAK” (Factoring attack on RSA-EXPORT Keys) on nimi vialle, joka juontuu 1990-luvun amerikkalaisviranomaisten määräyksestä, jonka mukaan yhdysvaltalaisyhtiöt eivät saaneet varustaa ulkomaille myytäviä laitteita kuin enintään 512-bittisellä suojauksella. Määräys on sittemmin poistunut, eivätkä monet uskoneet kyseistä heikkoa suojausta enää käytettävän. Tutkijat kuitenkin huomasivat, että muun muassa useat yhdysvaltojen viranomaisten verkkosivut sisälsivät haavoittuvuuden, joka mahdollisti heikon suojauksen hyväksikäytön. Tutkijoiden mukaan yli kolmannes kaikista 14 miljoonasta internetin suojatusta verkkosivustosta oli haavoittuvaisia.
Ongelma liittyy verkkosivujen salaukseen, joka on mahdollistanut ”mies välissä” -hyökkäyksen. Haavoittuvuuden vuoksi verkkosivut on voitu pakottaa käyttämään heikkoa salausta, joka saadaan murrettua muutamassa tunnissa, ja tämän jälkeen hyökkääjä pääsee käsiksi käyttäjän ja verkkosivuston väliseen liikenteeseen ja voi kaapata tietoja, kuten salasanoja, itselleen.
Ongelma koskee Applen laitteiden lisäksi isoa osaa Android-laitteista. Googlen oma Chrome-selain ei ole FREAK-haavoittuvainen, mutta useiden Android-laitteiden oma oletusselain on. Google kertoo lähettäneensä paikkauksen laitevalmistajille, ja nyt on kiinni laitevalmistajista, toimittavatko nämä päivityksen puhelimiinsa. Apple on ilmoittanut, että haavoittuvuuden korjaava päivitys iOS- ja OS X -laitteille tulee ensi viikolla.
MAINOS (ARTIKKELI JATKUU ALLA)
FREAK toimii esimerkkinä siitä, miten viranomaisten vaatimukset urkkimismahdollisuuksista voivat vaikuttaa kaikkiin tietoverkkojen käyttäjiin. Viranomaiset Yhdysvalloissa ovat viime aikoina harmitelleet esimerkiksi Applen iMessage-palvelussa käytettyä salausta, joka ei anna viranomaisille mahdollisuuksia urkkia käyttäjien viestejä. Viranomaiset yrittävät estää liian tehokkaan salauksen käytön ja vetoavat esimerkiksi terrorismiin ja kidnappauksiin.
Mainos: Jätä tästä yhteydenottopyyntö DNA:lle ja voit voittaa iPhone 12 Pro Maxin!
Salasana hukassa?
Etkö ole vielä rekisteröitynyt? Rekisteröidy tästä »