De nieuw ontdekte bug ‘Freak’ maakt het mogelijk beveiligde verbindingen toch af te luisteren en de bug lijkt al sinds de jaren ’90 aanwezig. Dit melden de ontdekkers van de bug op hun website en via de pagina van freakattack.com kan iedereen controleren of zijn browser vatbaar is voor de bug.
Het is in ieder geval duidelijk dat producten van Apple en Google de bug bevatten. Onder meer de standaardbrowser op Android-toestellen, de desktop- en mobiele versies van Chrome en de Safari-browser voor OS X en iOS zijn vatbaar voor de bug. Apple heeft voor volgende week een beveiligingsupdate voor OS X en iOS aangekondigd.
Vergeten regels
Deze Freak-bug blijkt te werken op basis van een inmiddels afgeschafte en vergeten regelgeving. De Amerikaans regering eiste tot 1999 dat de encryptie van websites op zeker hoogte te breken was.
Daar werd bij uitgegaan van een encryptie die door reguliere computers van toen niet te breken zouden zijn, maar wel door supercomputers. De tijd heeft echter de encryptie ingehaald, waardoor deze in theorie nu door iedereen te kraken is.
Potentieel misbruik
Waar de zwakke encryptie eigenlijk al verdwenen hoort te zijn, blijkt deze nog steeds te bestaan in software en producten van Google en Apple. Door de Freak-bug kunnen hackers hiervan misbruik maken.
De eigenlijk veilige https-verbinding wordt dan via een inmiddels verouderde verbinding geleid. Deze verbinding is te breken en zo zouden kwaadwillenden verbindingen kunnen afluisteren.
Het lukte de onderzoekers om een aantal populaire sites via een verbinding met de inmiddels verouderde encryptie te benaderen. De onderzoekers raden die sites en alle eigenaren van sites en servers aan hun beveiliging na te lopen.
Nieuw ontdekte bug kan veilige https-verbinding toch onveilig maken
Geen opmerkingen:
Een reactie posten