Feria de noche

Tras Heartbleed y la vulnerabilidad en Bash, ya está aquí FREAK. El Instituto Nacional de Investigación en Informática y Automática francés y la Universidad Johns Hopkins de Maryland han descubierto un fallo con más de 10 años de antigüedad que permite descifrar el tráfico HTTPS entre dispositivos Android, Mac e iOS y millones de webs como la de American Express, Bloomberg, la NSA o el FBI que permite a hackers hacerse con datos e información sensible de los usuarios.

Los investigadores han analizado recientemente los 14 millones de webs con protocolo SSL y han descubierto que el 36% de ellas son vulnerables a FREAK. Esta brecha necesitaría, nada más y nada menos, de unas 7 horas de trabajo y de un presupuesto de unos 100 dólares por web para ser corregida.

¿Afecta a tu dispositivo?

Este fallo de seguridad afecta tanto a usuarios de iOS y de Mac, a través de su navegador Safari, como a usuarios Android, a través del navegador por defecto. Para saber si este error afecta a vuestros dispositivos basta con acceder a la web de Freak Attack y comprobar si muestra una banda roja o azul. Si eres de los que, como yo, parece estar en un grandísimo peligro, las grandes empresas ya han anunciado aportar pronto un correctivo para esta brecha de seguridad. Apple, por ejemplo, a partir de la semana que viene.

Aviso de vulnerabilidad ante el fallo FREAKAviso de vulnerabilidad ante el fallo FREAK

La culpa la tiene Bill Clinton

Este fallo que afecta al cifrado TLS/SSL permite a personas malintencionadas forzar una transacción SSL para volver a una antigua versión del protocolo y poder atravesarlo más fácilmente. Este fallo, que se ha llamado Factoring RSA Export Keys (Freak) en referencia a los códigos de encriptado SSL, sería un legado de la política de seguridad de Estados Unidos de finales de los años 90. Entonces, la NSA requirió a las empresas que simplificaran la encriptación del software hasta una longitud máxima de 512 bits para permitirles un acceso posterior simple y poder espiar las comunicaciones extranjeras cuando dicho software se vendiera a países supuestamente hostiles.

Aunque esta práctica ya se abandonó, parece que el dispositivo sigue presente en algunos sistemas. Actualmente, esta vulnerabilidad puede ser usada por los hackers para conseguir contraseñas de acceso a webs de compras online o banca electrónica, entre otros muchos usos. La vulnerabilidad podría explotarse sobre todo a partir de bugs en Safari y en el navegador por defecto de Android, además de a través de la infraestructura OpenSSL.

[Duncan] editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?