Especialistas revelaram no início da semana a descoberta de uma falha de segurança importante batizada como Freak. O problema afeta versões dos principais navegadores do mercado para Android, iOS e OS X. Mas o Windows não ficou de fora por muito tempo: na quinta-feira (5), a Microsoft alertou que seus sistemas também são afetados.

O Freak (referência para Factoring RSA Export Keys) é uma vulnerabilidade que permite a um invasor quebrar a criptografia proporcionada pelo HTTPS e, assim, ter acesso a dados sigilosos trocados entre o navegador e um site.

A falha remonta aos anos 1990, quando o governo dos Estados Unidos determinou, apesar das manifestações contrárias de profissionais da área, que empresas e organizações limitassem a força de criptografia de seus sites. Dessa forma, as autoridades teriam mais facilidade para burlar a proteção desses serviços durante investigações.

Essa restrição levou ao uso de chaves de até 512 bits em relação ao algoritmo de criptografia RSA, que é o padrão usado no HTTPS.

Segurança

No final da mesma década, porém, a limitação foi derrubada. Mas os especialistas descobriram que, até hoje, muitos navegadores ainda suportam as chaves fracas. Para piorar, uma verificação em mais de 14 milhões de sites mostrou que 36% deles aceitam essas chaves. Muitos desses endereços pertencem a instituições bancárias e serviços de comércio eletrônico.

Ao acessar o site freakattack.com, você pode saber se o seu navegador tem o problema. A página também revela quais os sãos os sites mais populares suscetíveis ao Freak, assim como os browsers vulneráveis: Chrome para OS X e Android, o navegador padrão do Android 4.3 e inferiores, Safari para OS X e iOS, BlackBerry Browser e Opera para OS X e Linux.

Em relação ao Windows, a Microsoft esclareceu que, por meio da incorporação de um código na biblioteca Secure Channel, o problema afeta o Internet Explorer de todas as versões da plataforma a partir do Vista e, no caso de servidores, a partir do Windows Server 2003.

O Chrome para OS X e o navegador padrão do Android já foram corrigidos. A Apple promete liberar a correção das versões do Safari na próxima semana. Quanto ao Internet Explorer, a Microsoft afirma já estar trabalhando em uma solução. Enquanto isso, a companhia sugere a desativação da chave RSA em relação aos casos mais críticos. Há instruções para o procedimento aqui.

Até o momento, não há novidades sobre a atualização dos demais navegadores.

Com informações: Ars Technica, ExtremeTech

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Mateus Eduardo
O Chrome para Android acabou de receber a versão 41 que resolve o problema!
William Lima Crisostomo
Use Filtro solar
Fernando Henrique Soares
Use o Firefox Mobile
Fernando Henrique Soares
Então é aconselhável que você verifique quaisquer alterações que você tenha realizado no browser, ou então realizar uma nova instalação limpa e do próprio site do Firefox. Pois se o seu tem essa brecha é provável que tenha outras. Em nenhum dos meus aparelhos apresentou o FF com brecha na versão 36.
LekyChan
sim é, versão 36.0.1, quando entro no site fala que meu navegador possui o defeito
Paulo
O 27 é um novo Opera, uma imitação do Chrome. Até retiraram vários recursos.
Luander Falqueto Beltrame
Os sites que tem o ".br" casasbahia.com.br, santander.com.br, mg.gov.br, planalto.gov.br, netcombo.com.br, imovelweb.com.br, itau.com.br, estadao.com.br, extra.com.br, pontofrio.com.br. 2 Sites de bancos e 3 sites de e-commerce grandes.
Luiz Claudio Eudes Corrêa
funcionando normal aqui no Opera 27.0.1689.76
Luiz Claudio Eudes Corrêa
use o Opera
Louis
Em compensação o navegador da Samsung para Android está repleto de falhas. Se o Chrome para Android não fosse tão ruim...
Louis
Pena que não foi falado nada sobre o Firefox. Pelo fiz o teste na página e disse que ele está seguro.
Paulo
Tenho o IE 8(nunca uso), Firefox 21, Chrome 38, Epic 34 e Opera 12. De todos esses, só o Opera não abre o tecnoblog. Dá erro há mais de 1 mês. Por quê? Unable to complete secure transaction Show Details Secure connection: fatal error (40) from server. https://tecnoblog.net/174818/vulnerabilidade-freak... Failed to connect to server. The reason may be that the encryption methods supported by the server are not enabled in the security preferences. Please note that some encryption methods are no longer supported, and that access will not be possible until the website has been upgraded to use strong encryption.
Rafael Olah
Qual navegador você usa?
Caleb Enyawbruce

mas nao existe mesmo... pode ter certeza disso. Nao precisamos ficar malucos com isso mas cautela sempre e bom

Ramon Gonzalez
mas nao existe mesmo... pode ter certeza disso. Nao precisamos ficar malucos com isso mas cautela sempre e bom
Exibir mais comentários