FREAK: dati personali a rischio su connessioni HTTPS

Gli esperti hanno lanciato l’allarme a fronte della scoperta di una lacuna di sicurezza che affliggerebbe gli utenti di Android, Apple iOS e Mac OS X. Al centro dello studio vi sono, ancora una volta, le connessioni sicure effettuate attraverso l’utilizzo del protocollo HTTPS (vedere Certificato di protezione del sito web: cosa fare quando c’è un problema; Più veloce HTTP o HTTPS? Proviamo a chiarire).

Secondo Matthew Green, uno dei primi ricercatori a puntare i fari sulla nuova problematica, un aggressore potrebbe oggi riuscire a mettere in atto un attacco “man-in-the-middle” monitorando ed impossessandosi dei dati personali dell’utente scambiati attraverso l’uso di una connessione HTTPS.
Il problema riguarda quei siti web che permettono ancora l’utilizzo di algoritmi di cifratura deboli, datati e spesso già ritirati anni fa. L’aggressore, postosi del mezzo della comunicazione tra client e server, può iniettare pacchetti dati malevoli capaci di indurre le due parti ad utilizzare una debole chiave crittografica da 512 bit durante la fase di negoziazione della connessione cifrata.

Il nuovo attacco è stato battezzato FREAK, acronimo di Factoring attack on RSA-EXPORT Keys, perché – dopo aver indotto l’utilizzo di una chiave crittografica molto debole – il malintenzionato, anche avvalendosi di strumenti di calcolo capaci di ridurre notevolmente i tempi di elaborazione delle informazioni (Crittografia: attacchi più semplici grazie al cloud computing; L’impatto del cloud e delle moderne GPU sulla crittografia) può risalire alla chiave privata usata nelle comunicazioni e spiare i dati personali altrui.

FREAK viene valutato come un problema piuttosto importante perché coinvolge molti siti web ampiamente visitati. In questa pagina sono elencati i siti più noti affetti dalla problematica.
Per quanto riguarda i browser web, il sito permette di verificare se il prodotto utilizzato per navigare sul web sia affetto o meno dalla lacuna di sicurezza.

Al momento, Firefox su Android e Mac OS X sembra esente dal problema: il consiglio, quindi, è quello di utilizzare il browser di Mozilla almeno finché non arriveranno aggiornamenti ufficiali per gli altri prodotti.
Suggeriamo in ogni caso di effettuare il test su questo sito controllando il messaggio che compare in primo piano. Nel caso in cui apparisse la frase “Good News! Your browser appears to be safe from the FREAK Attack“, si sarà al sicuro da potenziali attacchi e rischi di sottrazione di informazioni personali.