Un equipo conjunto de investigadores de Microsoft y el INRIA Paris-Rocquencourt publicaron ayer toda una serie de vulnerabilidades que afectan al protocolo SSL. Entre ellas destaca FREAK, una vulnerabilidad que permite a un atacante interceptar la comunicación supuestamente segura entre dispositivos Android y Apple en su comunicación con millones de webs HTTPS vulnerables.
Se acaba de descubrir una nueva vulnerabilidad de seguridad que afecta al trafico HTTPS entre dispositivos Android y Apple y millones de webs vulnerables entre las cuales encontramos nombres como AmericanExpress.com o FBI.gov. En total se han testeado 14 millones de webs, de las cuales un 36% son vulnerables..
A este ataque al que se conoce como FREAK (Factoring attack on RSA-EXPORT Keys) es posible ejecutarlo cuando un cliente con un dispositivo Android o Apple (Iphones y Macs ejecutando OS X) se conectan a una web vulnerable por HTTPS. En ese momento un atacante que esté monitorizando el tráfico puede inyectar paquetes en ese tráfico y forzar a ambas partes a utilizar una encriptación RSA débil de 512 bits.. pudiendo entonces recopilar ese intercambio y obtener la clave privada de la web lo que a su vez le permitiría leer y/o modificar los datos intercambiados entre web y usuario.
Adicionalmente surge otro problema, se trata de que los servidores web no suelen generar claves RSA diferenciadas para cada sesión, en cambio software como Apache por defecto unicamente genera una clave RSA cuando arranca el servidor y la mantiene durante el tiempo de vida del mismo. Esto significa que obteniendo la clave de una sola comunicación un atacante podría espiar cada sesión hasta que el servidor se apagara.
Las compañías afectadas están reaccionando rapidamente ante la gravedad de la amenaza. Google ya ha distribuido un parche a sus partners y Apple preveé desplegar una actualización la próxima semana. El uso de claves RSA de 512 bits es un problema que se remonta a las administración Clinton cuando se forzó el uso de este tipo de claves débiles para todo el software o hardware que se exportara fuera de Estados Unidos con el objetivo de mantener a todo el resto de paises vulnerables a sus agéncias. De esta manera los fabricantes usaban distintos tipos de claves dependiendo del mercado objetivo del producto. El problema es que tras la abolición de esta medida este tipo de claves siguen presentes en un significante número de dispositivos.
Por el momento recomendamos que usuarios de Android o Apple, comprueben antes de acceder a webs HTTPS (bancos, correo...) si su cliente web es vulnerable a través del siguiente link. De momento se ha confirmado que el navegador Firefox para estas plataformas es inmune a este ataque por lo que a priori sería la opción a utilizar. Adicionalmente podemos consultar el listado de servidores web que aún permanecen vulnerables en el siguiente link.Fuente Freak Attack
