Alcuni ricercatori hanno individuato una falla nei software creati da società quali Apple, Google e altre ancora, un problema che potrebbe rendere molti dispositivi e sistemi operativi vulnerabili visitando siti che sfruttano il protocollo HTTPS e che, in teoria, dovrebbero essere sicuri.
The Washington Post spiega che la vulnerabilità in questione è stata denominata “FREAK” (Factoring Attack on RSA-EXPORT Keys) e ha radici nelle policy del governo statunitense che in passato impediva alle società di commercializzare all’estero strumenti che utilizzassero cifrature forti, richiedendo l’uso di meccanismi di cifratura più deboli per i prodotti utilizzati all’infuori degli Stati Uniti. Vari meccanismi di cifratura prevedevano specifiche restrizioni di esportazione sulla crittografia; benché restrizioni in questione siano state abolite dieci anni fa, alcune società hanno continuato ugualmente a utilizzare meccanismi di cifratura deboli, nonostante non ci fosse più l’obbligo di sfruttarli.
L’esistenza di restrizioni di esportazione sulla crittografia non era stata evidenziata finora ma i ricercatori hanno dimostrato la possibilità di forzare i browser a sfruttare cifrature di categoria inferiore a 512bit, semplificando i meccanismi di cracking. Hacker malintenzionati potrebbero potenzialmente essere in grado di sfruttare tattiche simili, attaccare cifrature deboli e di conseguenza rubare password e altre informazioni. I ricercatori ritengono che vulnerabilità di questo tipo potrebbero essere sfruttate per portare a termine attacchi e infiltrarsi in siti web. In alcune prove cifrature con restrizioni di esportazione sono state hackerate in sette ore usando un computer e un quarto di siti cifrati usati nei test sono stati bollati come vulnerabili.
Conferme del problema arrivano dal team di Karthikeyan Bhargava, ricercatore dell’istituto nazionale francese per le ricerche INRIA (Istituto nazionale per la ricerca nell’informatica e nell’automazione); Nadia Heninger, esperto in sistemi crittografici dell’University of Pennsylvania spiega che si tratta sostanzialmente di eredità zombie degli anni ’90: “Non credo che nessuno si sia mai accorto di stare supportando le restrizioni di esportazione sulla crittografia”.
Il Washington Post evidenzia come la vulnerabilità FREAK sia un esempio di problema generato quando i governi si interessano ai meccanismi di sicurezza dei dispositivi. Ricordiamo che recentemente alcuni enti hanno recentemente espresso preoccupazione in merito alle funzionalità pensate per la privacy integrate negli smartphone da Apple e Google, in risposta all’indignazione di programmi governativi segreti per la sorveglianza come il PRISM della National Security Agency statunitense.
I ricercatori che hanno individuato la nuova falla prima di rendere pubblici i dettagli hanno inviato notifiche ai siti governativi e alle principali società che si occupano di tecnologia. Per quanto riguarda Apple un portavoce ha spiegato che una patch è in arrivo nelle prossime settimane con fix specifici per i sistemi operativi desktop e mobile.
