آسیب پذیری Freak
Attack of the week: FREAK
داستان یک backdoor در encryption
Washington post در مقاله ای یک اشکال ناامید کننده برخی از سرورهای TLS/SSL و کاربران که امکان کاهش امنیت در اتصالات TLS را فراهم میکند گزارش داده است. یک گروه از متخخصین رمزنگاری در INRIA، تحقیقات مایکروسافت و IMDEA آسیب پذیری ها جدی را در OpenSSL (به عنوان مثال، آندروید) و Apple TLS/SSL را که به یک مهاجم man in the middle اجازه میدهد تا امنیت اطلاعات از از حالت رمز نگاری قوی RSA به حالت export-grade تغییر دهند را کشف نموده اند.
Freak در واقع یک نوع حمله متقاطع روی کلید RSA است که میتوانید رمزنگاری بسیاری از سایت ها را بشکند. در واقع بسیاری از سایت ها از SSL استفاده میکنند که شامل الگوریتم های رمزنگاری قوی و الگوریتم های رمزنگاری ضعیف هستند. انتظار می رود تمام connection ها از نوع اتصال قوی ایجاد شود اما در بسیاری از موارد مهاجم می تواند وب سایت را مجبور به استفاده از الگوریتم های رمزنگاری، ضعیف تر و سپس رمزگشایی ترافیک ارسالی نماید.
در حقیقت به نوع حملات security rollback گفته می شود که مهاجم سعی میکند سیستم را مجبور به استفاده از گزینه های قدیمی و ناامن کند.
اطلاعات بیشتری در لینک های زیر قابل مطالعه است:
http://blog.cryptographyengineering.com/2015/03/attack-of-week-freak-or-factoring-nsa.html