Ένα σοβαρό κενό ασφαλείας βρίσκεται εδώ και χρόνια ξεχασμένο σε Android και iOS συσκευές, καθιστώντας τους χρήστες ευάλωτους σε επιθέσεις από hackers κατά την επίσκεψή τους σε ιστοσελίδες με ελλιπή κρυπτογράφηση. Το κενό αποκαλύφθηκε από Αμερικανούς ερευνητές, οι οποίοι δημοσίευσαν μια λίστα με σημαντικές ιστοσελίδες (περιλαμβάνονται και ελληνικές) οι οποίες είναι θεωρητικά ευάλωτες αν προσπελαστούν από Android ή Apple συσκευές.
Μεταξύ των ιστοσελίδων που παρουσιάζουν την ευπάθεια είναι τραπεζικοί οργανισμοί στις Η.Π.Α, αμερικανικά κυβερνητικά sites αλλά και δημοφιλή ενημερωτικά sites από διάφορες χώρες.
To κενό οφείλεται σε παλιά πολιτική των Η.Π.Α που υποχρέωνε τις αμερικανικές επιχειρήσεις να μην χρησιμοποιούν ισχυρή αποκωδικοποίηση στα προϊόντα τους. Ουσιαστικά πρόκειται για μια ευπάθεια που επιθυμούσαν οι μυστικές υπηρεσίες των Η.Π.Α, ώστε να μπορούν να παρακολουθούν πιο εύκολα τους στόχους τους. Αν και το 1999 αυτό το εκούσιο κενό ασφαλείας εγκαταλείφθηκε ως πρακτική, αρκετές συσκευές της Apple και της Google διατηρούν μέχρι σήμερα αυτή την ευπάθεια στο λογισμικό τους, ξεχασμένη σε...λήθαργο.
Οι ερευνητές που ανακάλυψαν το πρόβλημα τις τελευταίες εβδομάδες, διαπίστωσαν ότι μπορούσαν να "αναγκάσουν" τους browsers να χρησιμοποιήσουν την ασθενέστερη κωδικοποίηση μέσω της οποίας καθίστατο δυνατό να εισβάλλουν στα συστήματα των χρηστών μέσα σε διάστημα μερικών ωρών. Εν συνεχεία οι επίδοξοι hackers μπορούσαν να αποκτήσουν κωδικούς και άλλα προσωπικά στοιχεία των χρηστών.
Το κενό ασφαλείας ονομάζεται "FREAK'" και αρκετοί ερευνητές θεωρούσαν ότι πλέον δεν χρησιμοποιείται και άρα δεν υφίσταται. Όπως δήλωσε χαρακτηριστικά η ειδικός συστημάτων κρυπτογράφησης του πανεπιστημίου της Πενσυλβάνια, Nadia Heninger "πρόκειται για ένα ζόμπι από την δεκαετία του 90".
H παλιά κωδικοποίηση που καθιστά ευάλωτες τις συσκευές χρησιμοποιούσε κλειδί κωδικοποίησης 512 ψηφίων. Για να σπάσει, απαιτείται η εργασία ενός έμπειρου hacker επί 7 ώρες με την ισχύ 75 υπολογιστών, κάτι που μπορεί να επιτευχθεί μέσω ενός cloud server με κόστος μόλις 100 δολάρια.
Αντίθετα, για να σπάσει ένα κλειδί κωδικοποίησης με τα διπλάσια ψηφία, (1024) απαιτείται από μια ομάδα hackers να δουλεύει επί ένα χρόνο επιστρατεύοντας την ισχύ εκατομμυρίων PC. Oι περισσότερες υπηρεσίες στις μέρες μας χρησιμοποιούν κωδικοποίηση 2048 ψηφίων, οπότε μπορούμε να αντιληφθούμε πόσο πιο ευάλωτες είναι οι συσκευές και οι υπηρεσίες που διατηρούν το "κατάλοιπο" της παλιάς κωδικοποίησης.
Οι ερευνητές ανακάλυψαν ότι περισσότερο από το ένα τρίτο των sites που χρησιμοποιούν "ασφαλή" κωδικοποίηση ήταν ευάλωτα στο κενό ασφαλείας και δημοσίευσαν μια λίστα των εν λόγω ιστοσελίδων. O αριθμός των ιστοσελίδων που μπορούν να προσβληθούν από την ευπάθεια φτάνει τα5 εκατομμύρια, από το σύνολο των 14 εκατομμυρίων που χρησιμοποιούν κωδικοποίηση.
Σε αυτή τη λίστα μπορούμε να δούμε μεταξύ άλλων τις σελίδες americanexpress.com, whitehouse.gov ενώ στην ίδια λίστα φιγουράρει και ο διαδικτυακός τόπος eurobank.gr. Ωστόσο, όπως αναφέρει η Washington Post, οι χρήστες που συνδέονται σε αυτά τα sites μέσω google chrome browser από desktop PC δεν αντιμετωπίζουν τον κίνδυνο να πέσουν θύματα του κενού ασφαλείας.
Σύμφωνα με τον ερευνητή ασφαλείας του πανεπιστημίου του Μίσιγκαν (Τμήμα Πληροφορικής) Zakir Durumeric, κίνδυνος υπάρχει για χρήστες που χρησιμοποιούν τον browser της Google σε Android συσκευές και για εκείνους που χρησιμοποιούν τον browser της Apple (Safari) σε iPhone, iPad ή Mac. Δεν υπάρχει κανένας κίνδυνος για χρήστες που συνδέονταν σε ιστοσελίδες μέσω Internet Explorer ή Mozilla Firefox. Πάντως, πρέπει να σημειωθεί ότι ο κίνδυνος είναι υπαρκτός μεν αλλά θεωρητικός, καθώς δεν έχει διαπιστωθεί έως τώρα ότι όντως έγινε εκμετάλλευσή του bug από κάποιον hacker.
Η Apple ανακοίνωσε ότι ετοιμάζει patch που θα διορθώνει την ευπάθεια για iOS και OS X. Η Google από την πλευρά της, έδωσε οδηγίες την περασμένη Τρίτη (3/3/15) προς τους κατασκευαστές smartphones, ώστε να κυκλοφορήσουν επίσης διορθωτικά updates, επομένως δεν συντρέχει ιδιαίτερος λόγος ανησυχίας.
To είδαμε στο www.pathfinder.gr
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου