Um grupo de cientistas da computação revelou esta semana uma perigosa brecha de segurança que afeta o OS X, iOS, Android e BlackBerry. Agora, a Microsoft confirma que a falha também está presente no Windows.

Ela foi chamada de FREAK, e permite que hackers descriptografem o tráfego HTTPS entre navegadores e milhões de websites. Para saber se seu smartphone ou computador está vulnerável, visite o site freakattack.com.

Os pesquisadores descobriram que podiam realizar um ataque a partir de sites supostamente seguros – desde bancos a sites do governo – e forçar navegadores a usar uma forma de criptografia mais fraca, cujas chaves secretas poderiam ser quebradas em questão de horas.

Como explica o Washington Post, hackers podem roubar senhas e outras informações pessoais, e até lançar um ataque mais amplo em sites ao assumir controle de elementos na página – como o botão “Curtir” do Facebook.

Navegadores vulneráveis

Estes são os navegadores vulneráveis por enquanto:

  • Chrome no OS X (até versão 40; baixe a versão 41)
  • Safari no OS X (Apple vai consertar na semana que vem)
  • Opera no OS X
  • Safari no iOS (Apple vai consertar na semana que vem)
  • Chrome no Android
  • navegador padrão do Android 4.3 ou inferior (Google enviou atualização para fabricantes)
  • BlackBerry Browser
  • Opera no Linux
  • Internet Explorer no Windows

Os navegadores que não estão na lista – por exemplo, o Firefox para Windows e o Chrome para iOS – não são vulneráveis.

Acreditava-se que o Windows estava imune à FREAK, mas não é o caso. A Microsoft avisa que o Internet Explorer é vulnerável em todas as versões do sistema desde o Vista – incluindo o Windows 7, 8 e RT. (O XP não é mencionado porque não recebe mais atualizações de segurança.) A falha ainda está para ser corrigida.

O Google não disse quando vai resolver o problema no Chrome para Android; a versão para OS X já foi corrigida. Opera e BlackBerry também não se manifestaram.

Como funciona

FREAK é a sigla em inglês para “fatorar chaves RSA de exportação”. Matthew Green, que ajudou na divulgação do estudo, explica que essa falha existe porque os EUA exigiam uma brecha na criptografia:

Nos anos 90, quando o SSL foi inventado pela Netscape, os EUA mantinham um controle rigoroso na exportação de sistemas de criptografia. Para distribuí-los fora dos EUA, as empresas eram obrigadas a deliberadamente “enfraquecer” a força de chaves de criptografia. Para a criptografia RSA, isso implicava um comprimento de chave máximo de 512 bits.

Essas restrições foram suspensas há mais de quinze anos, mas a criptografia fraca continuou embutida no software, e passou aparentemente despercebida até este ano.

Por isso, a criptografia do seu navegador é enfraquecida quando você usa uma chave RSA feita para exportação. E os pesquisadores descobriram algo insidioso: devido a um bug, você pode forçar um computador a aceitar essa chave, exibindo o tráfego web que deveria estar protegido.

Pesquisadores de segurança vasculharam mais de 14 milhões de sites protegidos por HTTPS e descobriram que 36% deles aceitam a chave fraca de segurança – ou seja, estão vulneráveis ao ataque.

Isto mostra o perigo de deixar brechas na criptografia por exigência do governo. Altos funcionários americanos, frustrados com a encriptação cada vez mais forte em smartphones, pediram para as empresas de tecnologia fornecerem backdoors, a fim de punir criminosos e permitir a espionagem. Mas essa falha de segurança pode, mais cedo ou mais tarde, ser usada por qualquer pessoa. [Ars Technica via The Next Web]

Foto por Yuri Samoilov/Flickr