5726 Letture

FREAK: dati personali a rischio su connessioni HTTPS

Gli esperti hanno lanciato l'allarme a fronte della scoperta di una lacuna di sicurezza che affliggerebbe gli utenti di Android, Apple iOS e Mac OS X. Al centro dello studio vi sono, ancora una volta, le connessioni sicure effettuate attraverso l'utilizzo del protocollo HTTPS (vedere Certificato di protezione del sito web: cosa fare quando c'è un problema; Più veloce HTTP o HTTPS? Proviamo a chiarire).

Secondo Matthew Green, uno dei primi ricercatori a puntare i fari sulla nuova problematica, un aggressore potrebbe oggi riuscire a mettere in atto un attacco "man-in-the-middle" monitorando ed impossessandosi dei dati personali dell'utente scambiati attraverso l'uso di una connessione HTTPS.
Il problema riguarda quei siti web che permettono ancora l'utilizzo di algoritmi di cifratura deboli, datati e spesso già ritirati anni fa. L'aggressore, postosi del mezzo della comunicazione tra client e server, può iniettare pacchetti dati malevoli capaci di indurre le due parti ad utilizzare una debole chiave crittografica da 512 bit durante la fase di negoziazione della connessione cifrata.


Il nuovo attacco è stato battezzato FREAK, acronimo di Factoring attack on RSA-EXPORT Keys, perché - dopo aver indotto l'utilizzo di una chiave crittografica molto debole - il malintenzionato, anche avvalendosi di strumenti di calcolo capaci di ridurre notevolmente i tempi di elaborazione delle informazioni (Crittografia: attacchi più semplici grazie al cloud computing; L'impatto del cloud e delle moderne GPU sulla crittografia) può risalire alla chiave privata usata nelle comunicazioni e spiare i dati personali altrui.

FREAK viene valutato come un problema piuttosto importante perché coinvolge molti siti web ampiamente visitati. In questa pagina sono elencati i siti più noti affetti dalla problematica.
Per quanto riguarda i browser web, il sito permette di verificare se il prodotto utilizzato per navigare sul web sia affetto o meno dalla lacuna di sicurezza.


Al momento, Firefox su Android e Mac OS X sembra esente dal problema: il consiglio, quindi, è quello di utilizzare il browser di Mozilla almeno finché non arriveranno aggiornamenti ufficiali per gli altri prodotti.
Suggeriamo in ogni caso di effettuare il test su questo sito controllando il messaggio che compare in primo piano. Nel caso in cui apparisse la frase "Good News! Your browser appears to be safe from the FREAK Attack", si sarà al sicuro da potenziali attacchi e rischi di sottrazione di informazioni personali.

  1. Avatar
    salvo granata
    04/03/2015 20:35:17
    Buonasera, purtroppo anche su firefox 36 esce l'avviso in rosso "warning....",almeno nel mio caso :(
  2. Avatar
    Cris_Cri
    04/03/2015 13:16:40
    Con dispositivo Apple iOS, se visito la pagina del test con "Safari", in risposta ho un messaggio di allerta evidenziato in rosso "Warning! Your client is vulnerable to CV-2015-0204...." Se invece la visito con la app di google in risposta ho il messaggio blu "Good News! Your browser appears to be safe from the FREAK Attack!" ....
  3. Avatar
    Michele Nasi
    04/03/2015 12:52:09
    Il problema sembra non affliggere i sistemi Windows ed i browser ivi installati.
  4. Avatar
    gian82
    04/03/2015 12:49:35
    scusa per l'errore,il fatto che con ie 11 non ho "good news" non significa nulla?
  5. Avatar
    Michele Nasi
    04/03/2015 12:33:46
    Non sui dispositivi mobili Android. Una versione aggiornata di Chrome è in fase di ultimazione.
  6. Avatar
    gian82
    04/03/2015 12:01:11
    anche chrome aggiornato sembra a posto , sulla pagina "good news" :)
FREAK: dati personali a rischio su connessioni HTTPS - IlSoftware.it