Foi descoberta uma vulnerabilidade que pode afetar usuários do Android e do iOS. Apelidada de Freak (Factoring RSA Export Key), a falha existe desde a década de 1990 e fragiliza uma conexão segura para facilitar o trabalho de descriptografar informações sensíveis.
Usuários do Open SSL (versões anteriores a 1.0 1k) e do SecureTransport da Apple (TSL) são capazes de interceptar a comunicação HTTPS entre clientes e servidores vulneráveis, forçando a conexão para usar a criptografia de exportação de grau. Assim, é possível decifrar as informações com facilidade.
O SecureTransport é usado por aplicativos em execução no iOS e no OS X, como o Safari. Já o OpenSSL é usado por navegadores Android e outros pacotes de aplicativos. De acordo com alguns relatórios, 37% dos sites confiáveis do navegador são afetados por esta falha, entre eles, o da Bloomberg e o do FBI.
O OpenSSL disponibilizou uma correção para a falha, apelidada de FREAK, em janeiro, enquanto a Apple reportou que está desenvolvendo um solução tanto para dispositivos móveis, quanto para os computadores. Para os usuários do iOS o mais aconselhável é evitar usar o navegador padrão do sistema. Uma boa dica é optar pelo Google Chrome, que não foi afetado pelo bug.
De acordo com o Paean Kinger, diretor de Deep Security Labs da Trend Micro, essa é uma vulnerabilidade real e pode requerer um nível elevado de sofisticação para ser explorada. “Seguir com a exploração da FREAK requer que os atacantes tenham habilidade para primeiro controlar uma sessão SSL entre cliente e servidor, e depois forçar que essa sessão seja rebaixada para um nível mais baixo de encriptação. Em seguida, eles teriam que seguir o tráfego encriptado e realizar um ataque de força bruta contra esse fluxo, o que levaria algumas horas. Com alta criptografia, o ataque levaria dias ou até semanas”, explica o especialista.