A perigosa falha FREAK afeta navegadores no Windows, OS X, iOS, Android e mais
Um grupo de cientistas da computação revelou esta semana uma perigosa brecha de segurança que afeta o OS X, iOS, Android e BlackBerry. Agora, a Microsoft confirma que a falha também está presente no Windows.
Ela foi chamada de FREAK, e permite que hackers descriptografem o tráfego HTTPS entre navegadores e milhões de websites. Para saber se seu smartphone ou computador está vulnerável, visite o site freakattack.com.
Os pesquisadores descobriram que podiam realizar um ataque a partir de sites supostamente seguros – desde bancos a sites do governo – e forçar navegadores a usar uma forma de criptografia mais fraca, cujas chaves secretas poderiam ser quebradas em questão de horas.
Como explica o Washington Post, hackers podem roubar senhas e outras informações pessoais, e até lançar um ataque mais amplo em sites ao assumir controle de elementos na página – como o botão “Curtir” do Facebook.
Navegadores vulneráveis
Estes são os navegadores vulneráveis por enquanto:
- Chrome no OS X (até versão 40; baixe a versão 41)
- Safari no OS X (Apple vai consertar na semana que vem)
- Opera no OS X
- Safari no iOS (Apple vai consertar na semana que vem)
- Chrome no Android
- navegador padrão do Android 4.3 ou inferior (Google enviou atualização para fabricantes)
- BlackBerry Browser
- Opera no Linux
- Internet Explorer no Windows
Os navegadores que não estão na lista – por exemplo, o Firefox para Windows e o Chrome para iOS – não são vulneráveis.
Acreditava-se que o Windows estava imune à FREAK, mas não é o caso. A Microsoft avisa que o Internet Explorer é vulnerável em todas as versões do sistema desde o Vista – incluindo o Windows 7, 8 e RT. (O XP não é mencionado porque não recebe mais atualizações de segurança.) A falha ainda está para ser corrigida.
O Google não disse quando vai resolver o problema no Chrome para Android; a versão para OS X já foi corrigida. Opera e BlackBerry também não se manifestaram.
Como funciona
FREAK é a sigla em inglês para “fatorar chaves RSA de exportação”. Matthew Green, que ajudou na divulgação do estudo, explica que essa falha existe porque os EUA exigiam uma brecha na criptografia:
Nos anos 90, quando o SSL foi inventado pela Netscape, os EUA mantinham um controle rigoroso na exportação de sistemas de criptografia. Para distribuí-los fora dos EUA, as empresas eram obrigadas a deliberadamente “enfraquecer” a força de chaves de criptografia. Para a criptografia RSA, isso implicava um comprimento de chave máximo de 512 bits.
Essas restrições foram suspensas há mais de quinze anos, mas a criptografia fraca continuou embutida no software, e passou aparentemente despercebida até este ano.
Por isso, a criptografia do seu navegador é enfraquecida quando você usa uma chave RSA feita para exportação. E os pesquisadores descobriram algo insidioso: devido a um bug, você pode forçar um computador a aceitar essa chave, exibindo o tráfego web que deveria estar protegido.
Pesquisadores de segurança vasculharam mais de 14 milhões de sites protegidos por HTTPS e descobriram que 36% deles aceitam a chave fraca de segurança – ou seja, estão vulneráveis ao ataque.
Isto mostra o perigo de deixar brechas na criptografia por exigência do governo. Altos funcionários americanos, frustrados com a encriptação cada vez mais forte em smartphones, pediram para as empresas de tecnologia fornecerem backdoors, a fim de punir criminosos e permitir a espionagem. Mas essa falha de segurança pode, mais cedo ou mais tarde, ser usada por qualquer pessoa. [Ars Technica via The Next Web]
Foto por Yuri Samoilov/Flickr