 |
| Problema teria iniciado nos anos 90. |
Usuários estão sendo alertados por
especialistas em segurança sobre uma falha séria que aparentemente
passou anos sem ser detectada e pode enfraquecer as conexões criptografadas entre computadores e sites, potencialmente debilitar a segurança na web. A vulnerabilidade, que foi apelidada de FREAK (de “Factoring attack on RSA-EXPORT Keys”), porque a falha de segurança reside nas chaves de encriptação, afetando o protocolo amplamente usado SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security),
e pode permitir que um invasor intercepte tráfego supostamente
criptografado à medida que ele se move entre clientes e servidores.
A falha foi descoberta por Karthikeyan Bhargavan, do INRIA, um instituto francês de pesquisas em ciência e tecnologia, e pela Microsoft Research. Um documento técnico descrevendo o FREAK deve ser apresentado na conferência de Segurança e Privacidade, da IEEE, em San Jose, na Califórnia. A falha afeta muitos sites conhecidos, assim como programas, incluindo o navegador Safari, da Apple, e o sistema Android, Google, segundo os especialistas em segurança. Os aplicativos que usam uma versão do OpenSSL anterior a 1.0.1k também estão vulneráveis ao bug. Um porta-voz da Apple anunciou nesta terça-feira, 3, que atualizações de sistema para o iOS e o OS X serão lançadas na próxima semana. O Google afirmou que distribuiu um patch para seus parceiros que protegerá a conexão do Android com sites vulneráveis. O Google sublinhou que o seu navegador, o Chrome, não é vulnerável ao FREAK,
apenas o browser instalado nos dispositivos Android. A empresa já
garantiu que nas próximas semanas vai fornecer aos seus "parceiros" as
respectivas atualizações para o sistema que irão resolver o problema nos smartphones.
O problema tem origem nas restrições de exportação impostas pelo governo dos EUA no começo dos anos 1990, que proibiam os fabricantes de software
de enviar produtos com uma forte criptografia para fora do país,
afirmou o professor de ciência da computação da Universidade de
Princeton, Ed Felten. Isso significa que algumas empresas enviavam uma
versão dos seus produtos com chaves de criptografia mais fracas para uso em outros países. Quando a lei foi alterada e tornou-se legal exportar a criptografia mais forte, “o recurso do modo de exportação não foi removido do protocolo porque alguns softwares ainda dependiam disso”, disse Felten.
A vulnerabilidade, que ficou conhecida agora, essencialmente permite aos
invasores fazer downgrade da segurança das conexões da criptografia
forte para aquela mais fraca, “para exportação”. Servidores e aparelhos
que usam o OpenSSL, um programa de criptografia open-source, estão vulneráveis, incluindo muitos aparelhos do Google e Apple, sistemas embutidos e outros produtos, segundo um aviso. Servidores ou clientes que aceitam os pacotes RSA_EXPORT também estão em risco.
Não há forma de determinar em quantos casos esta falha de segurança já
terá sido usada para entrar nos computadores dos cibernautas. Por tudo
isso, as empresas estão se mexendo para resolver o problema o mais
rápido possível.
