又一重大漏洞现身 “疯怪”危及世界互联网安全

作者：pxw 2015-03-05 14:05:41安全 漏洞 安全专家警告，疯怪一个潜伏多年的又重安全漏洞将危及计算机与网页间的加密连接，导致苹果和谷歌产品的大漏洞现用户在访问数十万网站时遭到攻击，包括白宫、身危国家安全局和联邦调查局的及世界互网站，并危及世界互联网安全。联网

安全专家警告，安全一个潜伏多年的疯怪安全漏洞将危及计算机与网页间的加密连接，导致苹果和谷歌产品的又重用户在访问数十万网站时遭到攻击，包括白宫、大漏洞现国家安全局和联邦调查局的身危网站，并危及世界互联网安全。及世界互

该漏洞被称为“疯怪”(Freak)，联网是安全一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它，疯怪攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统，以及使用早于1.0.1k版本的OpenSSL的用户。

问题起源于美国在上世纪90年代早期施行的出口限制政策，它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后，由于有些软件仍旧依赖于旧版加密协议，出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”，从而使其易于攻破。

很多谷歌和苹果的产品，以及嵌入式系统都使用OpenSSL协议，这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险，疯怪(FREAK)漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻击者在加密连接的建立过程中进行中间人攻击，可以绕过SSL/TLS协议的保护，完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。

当今的协议使用更长的加密密钥，比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法，但今天的攻击者利用公有云服务将很容易破解这些短密钥。

上世纪90年代，破解512位密钥需要大量计算;如今利用亚马逊弹性计算云，则只需要大约7小时，花费100美元。

企业在修补漏洞方面动作迅速。苹果和谷歌均表示，已经开发了补丁，并将很快向用户推送。CDN服务商Akamai公司的负责人表示，已经对其网络进行修补，但是很多客户端仍暴露在风险中。“我们没办法修补客户端，但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端，我们已经在和客户联系，让他们进行变更了”。

该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。

责任编辑：蓝雨泪 来源： 安全牛 疯怪Freak安全漏洞

(责任编辑：知识)