Setki aplikacji na Androida i iOS nadal są podatne na ataki FREAK

Setki aplikacji na Androida i iOS są nadal podatne na niebezpieczny atak ujawniony dwa tygodnie temu, który może zagrozić szyfrowaniu danych, powiedział we wtorek pewien sprzedawca zabezpieczeń.

Aplikacje nie zostały jeszcze naprawione przeciwko atakowi FREAK, skrót od Factoring attack na kluczach RSA-EXPORT Keys, który został ujawniony przez badaczy 3 marca.

Niezatwierdzone aplikacje, które nie zostały zidentyfikowane, są w kategoriach takich jak finanse, komunikacja, zakupy, biznes i medycyna, firma bezpieczeństwa komputerowego FireEye powiedziała we wpisie na blogu we wtorek.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Wyniki pokazują, że nawet niektóre z najbardziej nagłośnionych i poważnych błędów mogą zająć sporo czasu, aby je naprawić. Stwarza to zagrożenie dla osób korzystających z aplikacji, których programiści nie łatają ich łatania.

Badacze ujawnili na początku tego miesiąca, że ​​wiele programów i przeglądarek było podatnych na FREAK, co jest wadą, która może pozwolić na SSL / TLS (Secure Sockets Layer) / Transport Security Layer) klucz szyfrowania, który ma zostać obniżony do 512 bitów - znacznie słabszy niż klucze o rozdzielczości 2048 bitów zwykle używane dzisiaj.

Wada ta jest spuścizną ograniczeń eksportowych rządu USA w latach 90., która zakazała sprzedaży oprogramowania za granicą klucze szyfrowania. Wiele produktów wciąż może zostać zmuszonych do użycia słabszych kluczy, które mogą zostać popękane przez uruchomienie oprogramowania matematycznego w publicznej usłudze chmury.

FREAK jest unikalny, ponieważ wiele produktów wymaga aktualizacji w celu rozwiązania problemu. Apple i Google załatali swoje mobilne systemy operacyjne, ale wiele aplikacji kompatybilnych z tymi urządzeniami musi zostać uaktualnionych. W FireEye znalazło się wiele przykładów, które jeszcze nie zdarzyły się w zeszłym tygodniu.

Znalazło się 1228 aplikacji na Androida w Google Play, które wciąż są podatne na ataki, z 10 985 przeanalizowanych. Wszystkie aplikacje zostały pobrane ponad milion razy. Spośród słabych aplikacji 664 korzysta z dołączonej do systemu biblioteki OpenSSL systemu Android, podczas gdy reszta ma własną skompilowaną wersję OpenSSL, FireEye powiedział.

OpenSSL jest szeroko stosowanym pakietem oprogramowania open source używanym do połączeń SSL / TLS. Oprogramowanie zostało poddane intensywnej analizie w ciągu ostatniego roku po stwierdzeniu kilku poważnych błędów, w tym Heartbleed, POODLE i FREAK.

Po stronie iOS, FireEye stwierdziło, że 771 z 14 079 aplikacji, które obejrzało, były podatne na ataki, chociaż w w większości przypadków tylko wtedy, gdy były uruchomione w wersjach iOS wcześniejszych niż 8.2, które naprawiały błąd. Tylko siedem aplikacji wciąż było zagrożonych w systemie iOS 8.2.

"Atak FREAK stanowi poważne zagrożenie dla bezpieczeństwa i prywatności aplikacji mobilnych" - napisał FireEye. "Zachęcamy twórców aplikacji i administratorów witryn do rozwiązania tego problemu tak szybko, jak to możliwe."