20 anos depois de surgir, falha de segurança Freak deixa usuários de Mac, iOS e Android expostos

Neste momento, Apple e Google estão concentrando os esforços de suas equipes de segurança exatamente no mesmo problema: a falha de segurança Freak, que existe há cerca de 20 anos, mas só agora teve seus riscos revelados. De acordo com o Washington Post, o problema pode deixar milhões de usuários dos sistemas Android, Mac OS e iOS vulneráveis a ataques de hackers.

Para nosso alívio, os pesquisadores que denunciaram a falha disseram que não há evidências de que ela tenha sido explorada por hackers. O que eles têm é um culpado para a falha: uma política do governo dos EUA, adotada na década de 1990, antes da criação do SSL.

Naquela época, os Estados Unidos forçavam as empresas do país a utilizar encriptações mais fracas (de 512-bits) em seus sites, para os visitantes de outras nações. As encriptações mais fortes (de 1024-bits) eram exclusivas de quem acessava os endereços direto dos EUA.

Para entender a diferença, basta ver que os pesquisadores precisaram de 7 horas e o poder de 75 computadores para quebrar a encriptação de 512-bits. Para quebrar a de 1024-bits, eles precisariam de uma equipe de crackers, o poder de milhões de PCs e cerca de 1 ano.

Essa política foi abandonada no final dos anos 90, mas aí já era tarde demais. A técnica havia se tornado parte fundamental de diversos softwares populares, incluindo os browsers, o que tornou sua extinção numa tarefa difícil. E são exatamente os navegadores que apresentam as vulnerabilidades hoje.

- Continua após a publicidade -

Por isso a Google já confirmou que está desenvolvendo um patch para os navegadores padrão do sistema Android, que será distribuído para operadoras e fabricantes. Enquanto isso, a Apple já confirmou que vai lançar uma correção para o Safari esta semana, tanto para a versão iOS quando para Mac. Curiosamente, o google Chrome para Android não está vulnerável. Então, se você usa o navegador padrão no seu Android, talvez seja bom mudar para o Chrome por um tempo.

{via}Washington Post|http://www.washingtonpost.com/blogs/the-switch/wp/2015/03/03/freak-flaw-undermines-security-for-apple-and-google-users-researchers-discover/|Cnet|http://www.cnet.com/news/decade-old-freak-security-flaw-left-millions-exposed/|Engadget|http://www.engadget.com/2015/03/04/freak-flaw-ios-android-ssl-bug/{/via}