Freak

En grupp säkerhetsforskare ledda av Karthikeyan Bhargavan på franska INRIA avslöjade i veckan en ny och potentiellt allvarlig bugg i vissa implementationer av den mycket viktiga tekniken tls (transport layer security), som används för alla krypterade uppkopplingar i webbläsare och även i många andra program.

Buggen har döpts till Freak och är en så kallad man-in-the-middle-attack där en hackare skulle kunna snappa upp information mellan dig och en server.

Den utnyttjar det faktum att tls-standarden fortfarande tillåter något som kallas exportnivåkryptering, en idé som amerikanska staten fick i början av 90-talet och gick ut på att mjukvara som exporterades bara skulle få använda kryptering som staten i nödfall kunde bryta upp.

Reglerna ändrades i början av 2000-talet och moderna webbläsare använder vanligtvis inte såna svaga nycklar, men har ändå kvar stöd för dem.

Vad forskarna upptäckte var att det går att lura en klient och en server att kommunicera med såna svaga nycklar, och då blir det genast lätt att dekryptera kommunikationen.

I dagsläget är Apples Safari på både Mac och IOS sårbara, vilket även gör att de flesta tredjepartsappar med inbyggda webbläsare är det. Microsoft har bekräftat att Windows är sårbart, och andra webbläsare som använder Open SSL med versionsnummer under 1.0.1k, som Androids medföljande webbläsare, är det också.

Googles Chrome och Mozillas Firefox är däremot inte drabbade.

Apple har lovat uppdateringar av OS X och IOS nästa vecka. Microsoft ska också släppa uppdateringar, men har även publicerat en metod för att stänga av de chiffer som utnyttjas av Freak.


CITE Conference till Stockholm 21-22 april! 

Här samlas alla typer av IT-beslutsfattare för att prata om digitaliseringen som driver framtidens affärer.

Fokus ligger på mobilitet, säkerhet, molnet och big data.

http://cite.event.idg.se