“疯怪”漏洞现身,危及世界互联网安全
安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。
该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。
问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后,由于有些软件仍旧依赖于旧版加密协议,出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”,从而使其易于攻破。
很多谷歌和苹果的产品,以及嵌入式系统都使用OpenSSL协议,这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险,疯怪(FREAK)漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母(Factoring attack on RSA-EXPORT Keys)。
攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。
当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者利用公有云服务将很容易破解这些短密钥。
上世纪90年代,破解512位密钥需要大量计算;如今利用亚马逊弹性计算云,则只需要大约7小时,花费100美元。
企业在修补漏洞方面动作迅速。苹果和谷歌均表示,已经开发了补丁,并将很快向用户推送。CDN服务商Akamai公司的负责人表示,已经对其网络进行修补,但是很多客户端仍暴露在风险中。“我们没办法修补客户端,但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端,我们已经在和客户联系,让他们进行变更了”。
该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。