Caution! FREAK Vulnerabilities in OpenSSL and SecureTransport


FREAK out; Security researchers warn of new vulnerabilities in Apple's OpenSSL and SecureTransport that allow an attacker to decrypt your login cookies and other sensitive information from HTTPS connections if you are using a vulnerable browser such as Safari.freak encryption key

Το SecureTransport της Apple είναι μια βιβλιοθήκη που χρησιμοποιείται από τις εφαρμογές για iOS και OS X, όπως το Safari για iPhone, iPad και Mac. Το πρωτόκολλο OpenSSL είναι open source, και χρησιμοποιείται από προγράμματα περιήγησης του Android, και από πολλά άλλα.

Με τα πρωτόκολλα OpenSSL και SecureTransport πραγματοποιείται η κρυπτογράφηση σε συνδέσεις με τράπεζες, webmail, και άλλες ιστοσελίδες HTTPS.

“Η σύνδεση είναι ευάλωτη, εάν ο διακομιστής δέχεται κρυπτογράφηση RSA_EXPORT και ο πελάτης είτε προσφέρει μια σουίτα RSA_EXPORT ή χρησιμοποιεί μια έκδοση του OpenSSL που είναι ευάλωτη στην ευπάθεια CVE-2015-0204”, σύμφωνα με freakattack.com, μια ιστοσελίδα που εξηγεί το ελάττωμα ασφαλείας.

"Vulnerable clients have many Google and Apple devices that use unpatched OpenSSL, a large number of embedded systems, and many other software products that use TLS."

You can see if your browser is vulnerable to freakattack.com.

How did this happen?

In the early 1990s, the US government banned the sale of software overseas unless the code used by the so-called "encryption export suites" containing encryption keys was no longer 512 bits.

At that time, in order to ensure Uncle Sam, only relatively weak encryption was exported to the rest of the world, and he held the strongest for himself.

However, the limitations on cryptos exports no longer apply, but some implementations of TLS and SSL protocols continue to support these 1990 technology for the export of encryption code.

This last defect, which we report today and was named FREAK (Factoring RSA Export Keys), can be exploited during the creation of a secure connection when encryption has not yet started.

Ευάλωτα clients (όπως ένα πρόγραμμα περιήγησης στο Web, smartphone ή συσκευές του internet-of-things) αρχίζουν να μιλά σε έναν διακομιστή (όπως η μηχανή πίσω από μια ιστοσελίδα HTTPS), και απαριθμώντας τους αλγόριθμους κρυπτογράφησης και τα μήκη των κλειδιών που υποστηρίζονται.

An intruder can monitor traffic between the client and the server and can intervene by saying that the client only receives encryption-encryption keys, such as telling one of the old 512-bit RSA keys.

Because of the flaw in OpenSSL and SecureTransport, the server responds with a weak key, the client accepts it and the encryption process begins.

Hopefully they will release patches immediately.


Read them Technology News from all over the world, with the validity of iGuRu.gr

Follow us on Google News iGuRu.gr at Google news