Freak bug!

webhostingDe nieuw ontdekte bug ‘Freak’ maakt het mogelijk beveiligde verbindingen toch af te luisteren. De bug lijkt al sinds de jaren ’90 aanwezig.

Dat melden de ontdekkers van de bug op freakattack.com. Via die pagina kan iedereen controleren of zijn browser vatbaar is voor de bug.

Duidelijk is dat in ieder geval producten van Apple en Google de bug bevatten. Onder meer de standaardbrowser op Android-toestellen, de desktop- en mobiele versies van Chrome en de Safari-browser voor OS X en iOS zijn vatbaar voor de bug. Apple heeft voor volgende week een beveiligingsupdate voor OS X en iOS aangekondigd.

De Freak-bug werkt volgens de onderzoekers op basis van een inmiddels afgeschafte en vergeten regelgeving. De Amerikaanse regering eiste tot ongeveer 1999 dat de encryptie van sites tot op zekere hoogte te breken was. Destijds werd daarbij uitgegaan van een encryptie die door reguliere computers van toen niet te breken zou zijn, maar door supercomputers wel. De tijd heeft die encryptie echter ingehaald, waardoor die nu in theorie door iedereen te kraken is.

Potentieel misbruik
Waar die zwakke encryptie eigenlijk al verdwenen hoort te zijn, blijkt die toch nog te bestaan in producten en software van Apple en Google. Hackers kunnen daar dankzij de Freak-bug misbruik van maken.

Een eigenlijk veilige https-verbinding wordt dan via zo’n inmiddels verouderde verbinding geleid. Die verbinding is te breken, en zo zouden kwaadwillenden verbindingen kunnen afluisteren.
Het lukte de onderzoekers om een aantal populaire sites via een verbinding met de inmiddels verouderde encryptie te benaderen. De onderzoekers raden die sites en alle eigenaren van sites en servers aan hun beveiliging na te lopen.

Bron: Nu.nl


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

*