postado em 06/03/2015 16:25
A Microsoft anunciou ontem, quinta-feira, que serviços da empresa também estão vulneráveis a falha conhecida como Freak (sigla de Factoring attack on RSA-EXPORT Keys). Até então, o problema de segurança havia sido detectado no navegador Safari, da Apple, em navegadores de smartphones com sistema Android, disponibilizado pela Google e também no navegador móvel da BlackBerry.
[SAIBAMAIS]O Freak, para quem não conhece, é uma falha resultante de uma medida tomada pelo governo norte-americano no início dos anos 90. Na época, as fabricantes de softwares criptografados eram obrigadas a exportarem versões com protocolos de segurança mais fracos. A ação visava facilitar possíveis espionagens futuras.
Entretanto, mesmo com o fim da medida em meados dos anos 90, a prática continuou sendo utilizada até hoje. O resultado é que muitos programas seguem com criptografias consideradas fracas para os padrões atuais.
Entre os canais que apresentam falhas estão os sites com o padrão SSL (indicado pela letra ;s; após o ;http; das páginas web). Testes feitos pela Universidade de Michigan apontam que mais de um terço desse tipo de site criptografado são vulneráveis ao ;Freak;. De15 milhões de páginas verificadas pela instituição, 5 milhões eram vulneráveis, incluindo sites de notícias, comércio eletrônico e de serviços financeiros. Até mesmo sites considerados seguros, como da Casa Branca e da NASA estão na lista de páginas com criptografia fraca.
Por enquanto não há notícias sobre ataques que utilizam o Freak, mas em entrevista ao Washington Post, o especialista Matthew D. Green, que ajudou a descobrir a falha, afirma que hackers poderiam usar a fragilidade para conseguirem informações sem muita dificuldade. Segundo Green, seriam necessárias apenas sete horas de trabalho para que um hacker quebrasse um código de 512 bits, padrão usado nos sites afetados pelo Freak.
As empresas vulneráveis, em especial Apple, Google e Microsoft, já emitiram pronunciamentos afirmando que atualizarão seus sistemas para evitar possíveis ataques. Ainda assim, vale conferir uma lista dos navegadores que apresentam fragilidade ao Freak:
Chrome no OS X (até versão 40; baixe a versão 41)
Safari no OS X (Apple deve consertar na semana que vem)
Opera no OS X
Safari no iOS (Apple deve consertar na semana que vem)
Chrome no Android
navegador padrão do Android 4.3 ou inferior (Google enviou atualização para fabricantes)
BlackBerry Browser
Opera no Linux
Internet Explorer no Windows (versões mais recentes, a partir do Vista, devem receber atualização de segurança em breve)