E’ stata scoperta una nuova falla SSL/TLS di sicurezza in Safari, sembrerebbe però che Apple sia già al lavoro per risolvere il tutto.
Soprannominato “FREAK”, la falla si basa su metodi utilizzati dalla NSA durante le crypto wars negli anni ’90. Come ha rilevato il Washington Post, l’agenzia ha tentato di tappare la forza del software di crittografia che può essere esportato al di fuori degli Stati Uniti, costringendo i tecnici a progettare librerie crittografiche che potrebbero accettare connessioni dai client nazionali con crittografia forte e clienti esteri con la crittografia più debole.
Anche se l’NSA ha abbandonato questa strategia nel 2000, il supporto legacy per tali connessioni rimane in molti SSL / TLS client e server.
Questo presenta un problema quando un client vulnerabile tenta di connettersi a un host che rende ancora disponibile l’esportazione di cifrari. Un utente malintenzionato può acquisire e pre-craccare la chiave più debole delle esportazioni dal server, quindi utilizzarlo per farsi passare come legittimo ospite in un attacco man-in-the-middle.
Apple ha promesso di distribuire una patch client-side per il rilascio sia su iOS che su OS X per la prossima settimana, mentre i ricercatori che hanno scoperto la falla – da INRIA, IMDEA, e Microsoft Research – hanno lavorato per informare gli host che servono ancora export cifrari. Molti di questi ultimi, compresi i Content Delivery Network di Akamai e Facebook, hanno il supporto disabilitato per cifrari all’esportazione dei loro server.
[via]