Apple e Google stanno lavorando per correggere una falla di sicurezza che risale addirittura agli anni ’90 anni e che potrebbe lasciare i milioni di utenti del browser web dei loro telefoni cellulari vulnerabili all’attacco di hacker. Chiamato “Freak attack” colpisce i protocolli SSL e TLS ampiamente utilizzati per proteggere le connessioni online (legato alla crittografia delle pagine web).
Questo bug ricorda il caso ‘Heartbleed‘ del 2014 che ha colpito in maniera significativa la sicurezza nel web e che consisteva in un difetto che affliggeva il protocollo diffuso TLS (Transport Layer Security), utilizzato per proteggere le connessioni HTTP. Tale problema è stato affrontato rapidamente con una patch di emergenza per la libreria di crittografia OpennSSL che conteneva la vulnerabilità.
“FREAK (che significa Dactoring RSA-EXPORT Keys ) attack” è qualcosa di simile perché colpisce qualsiasi browser che utilizza una versione senza patch di OpenSSL, quindi anche Safari, sia su iOS che su Mac e Android. Questo nuovo exploit, tuttavia, non è solo limitato ai server, ma potrebbe mettere anche i browser a rischio.
Gli utenti di Safari di Apple e del browser di Android di Google sono affetti dal bug, e quindi potenzialmente vulnerabili agli hacker. Secondo i ricercatori contattati dal Washington Post, il bug risale almeno a dieci anni fa.
La vulnerabilità degli utenti consiste nel fatto che le comunicazioni elettroniche potrebbero essere intercettate quando si visita una delle centinaia di migliaia di siti web la cui connessione richiede la crittografia, tra cui anche siti governativi come Whitehouse.gov, NSA.gov e FBI.gov.
Apple e Google hanno detto che sono alla ricerca di aggiornamenti per risolvere la vulnerabilità. Apple è già al lavoro per risolvere la problematica ed infatti entro la prossima settimana dovrebbe rilasciare un nuovo aggiornamento software, mentre Google ha detto al WSJ che risolverà il bug rilasciando un aggiornamento ai produttori di dispositivi e agli operatori wireless (bisogna poi vedere se questi aggiorneranno tutti i firmware dei loro telefoni).
Il bug è emerso un paio di settimane fa, quando un gruppo di ricercatori hanno scoperto che la crittografia in alcuni siti web poteva essere violata nel giro di poche ore. Una volta che la crittografia di un sito viene violata, gli hacker hanno la possibilità di rubare i dati degli utenti (come le password) e dirottare il navigatore in altre pagine web.
I ricercatori hanno messo in guardia il governo degli Stati uniti per via dei suoi siti a rischio e sono stati avvisati anche i proprietari di siti web commerciali almeno da un paio di settimane nella speranza che ciascuno possa prendere provvedimenti prima che la vulnerabilità cominci ad essere sfruttata dagli hacker, ora che la sua esistenza è stata pubblicizzata.
