Falha de segurança Freak rompe a proteção do HTTPS em vários navegadores
Especialistas revelaram no início da semana a descoberta de uma falha de segurança importante batizada como Freak. O problema afeta versões dos principais navegadores do mercado para Android, iOS e OS X. Mas o Windows não ficou de fora por muito tempo: na quinta-feira (5), a Microsoft alertou que seus sistemas também são afetados.
O Freak (referência para Factoring RSA Export Keys) é uma vulnerabilidade que permite a um invasor quebrar a criptografia proporcionada pelo HTTPS e, assim, ter acesso a dados sigilosos trocados entre o navegador e um site.
A falha remonta aos anos 1990, quando o governo dos Estados Unidos determinou, apesar das manifestações contrárias de profissionais da área, que empresas e organizações limitassem a força de criptografia de seus sites. Dessa forma, as autoridades teriam mais facilidade para burlar a proteção desses serviços durante investigações.
Essa restrição levou ao uso de chaves de até 512 bits em relação ao algoritmo de criptografia RSA, que é o padrão usado no HTTPS.
No final da mesma década, porém, a limitação foi derrubada. Mas os especialistas descobriram que, até hoje, muitos navegadores ainda suportam as chaves fracas. Para piorar, uma verificação em mais de 14 milhões de sites mostrou que 36% deles aceitam essas chaves. Muitos desses endereços pertencem a instituições bancárias e serviços de comércio eletrônico.
Ao acessar o site freakattack.com, você pode saber se o seu navegador tem o problema. A página também revela quais os sãos os sites mais populares suscetíveis ao Freak, assim como os browsers vulneráveis: Chrome para OS X e Android, o navegador padrão do Android 4.3 e inferiores, Safari para OS X e iOS, BlackBerry Browser e Opera para OS X e Linux.
Em relação ao Windows, a Microsoft esclareceu que, por meio da incorporação de um código na biblioteca Secure Channel, o problema afeta o Internet Explorer de todas as versões da plataforma a partir do Vista e, no caso de servidores, a partir do Windows Server 2003.
O Chrome para OS X e o navegador padrão do Android já foram corrigidos. A Apple promete liberar a correção das versões do Safari na próxima semana. Quanto ao Internet Explorer, a Microsoft afirma já estar trabalhando em uma solução. Enquanto isso, a companhia sugere a desativação da chave RSA em relação aos casos mais críticos. Há instruções para o procedimento aqui.
Até o momento, não há novidades sobre a atualização dos demais navegadores.
Com informações: Ars Technica, ExtremeTech