Freak-bug kan https-verbinding onveilig maken

Freak is een bug die het mogelijk maakt om beveiligde verbindingen af te luisteren. Het gaat hier om een bug met een oorsprong in de jaren negentig. Dit hebben de ontdekkers bekendgemaakt op freakattack.com. Via deze pagina kunnen gebruikers controleren of hun browser vatbaar is voor de bug. Aan deze kwetsbaarheid is het kenmerk CVE-2015-0204 toegekend.

Producten van Google en Apple bevatten volgens de ontdekkers in ieder geval de bug. Daarbij gaat het onder andere om de standaardbrowser op Android-toestellen, de desktopversie en mobiele versie van Chrome en de Safari-browser voor OS X en iOS. Apple heeft aangekondigd met een beveiligingsupdate voor OS X en iOS te komen.

Vergeten regelgeving
Volgens de onderzoekers werkt de Freak-bug op basis van afgeschafte en vergeten regelgeving. Tot ongeveer het eind van de vorige eeuw eiste de Amerikaanse regering dat de versleuteling van sites tot op zekere hoogte te breken was. Het was alleen toegestaan RSA encryptie met een sleutellengte van 512 bits te exporteren, onder de naam ‘RSA-EXPORT’. De naam ‘Freak attack’ is afgeleid van ‘Factoring attack on RSA-EXPORT Keys’. Men ging uit van een encryptie die niet te breken zou zijn door reguliere computers maar wel door de supercomputers van de Amerikaanse inlichtingendiensten. De onveilige versleuteling is nog steeds onderdeel van het huidige SSL-protocol en is inmiddels door iedereen te kraken.

Verouderde verbinding
Dankzij de Freak-bug kunnen hackers een veilige https-verbinding gebruik laten maken van de RSA-EXPORT verleuteling. Die verbinding is vervolgens te breken waardoor deze is af te luisteren. De onderzoekers zijn erin geslaagd om een aantal populaire sites te benaderen via een verbinding met de verouderde versleuteling. Ze raden alle eigenaren van sites en servers aan om hun beveiliging na te lopen.

Aanmelden voor onze nieuwsbrief