Исследователи из нескольких американских университетов, проведя серию экспериментов, сумели обнаружить серьезную уязвимость в браузерах компаний Apple и Google. Ошибка в программном обеспечении, получившая название FREAK, оказалась опасной как для пользователей, так и для большого количества сайтов, в том числе достаточно солидных.
Уязвимость состоит в том, что американским компаниям до 1999 года было запрещено поставлять за рубеж устройства с сильной криптозащитой. Чтобы не срывать экспортные поставки, разработчики сделали более слабый вариант шифрования передаваемой информации. Запрет со временем был снят, а о несовершенной криптозащите забыли. Она осталась в составе программного обеспечения, и экспертам удалось заставить браузеры использовать именно ее. В результате под потенциальным ударом оказались даже сайты американских спецслужб и правительственных организаций, не говоря уже о менее защищенных ресурсах.
Несовершенная защита, тем не менее, тоже не проста для хакеров. Для того, чтобы ее взломать, нужны серьезные вычислительные мощности. Но они в настоящее время доступны, что и доказали исследователи из Университета Пенсильвании. Воспользовавшись платформой Amazon Web Services, они сумели взломать 512-битный ключ защиты всего за несколько часов.
Уязвимость касается прежде всего браузеров Apple и браузера, предустановленного в мобильной операционной системе Android. Компании уже отреагировали на ситуацию. Google разослала партнерам необходимую заплатку сразу, а Apple обещает сделать это в ближайшее время. Эксперты же не берутся сказать, была ли использована FREAK хакерами ранее.