French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

ช่องโหว่นี้มีชื่อว่า FREAK (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle attack

จากการตรวจสอบเว็บไซต์ 14 ล้านแห่งที่รองรับ SSL/TLS พบว่า 36% รองรับการเข้ารหัสที่ไม่ปลอดภัย ทำให้มีความเสี่ยงถูกโจมตี ส่วนฝั่งผู้ใช้ที่ตกอยู่ในความเสี่ยงมีทั้ง Android, iOS, OS X หากเข้าเว็บไซต์ที่มีความเสี่ยงเมื่อไรมีอาจถูกโจมตีได้ทันที

เบื้องต้น ทีมวิจัยแนะนำให้เว็บที่ตกอยู่ในความเสี่ยงปิดการเข้ารหัสที่ล้าสมัย และทำให้เว็บรองรับ forward secrecy ส่วน Google ได้ส่งแพตซ์ไปให้พาร์ทเนอร์แล้ว และ Apple ก็เตรียมปิดช่องโหว่นี้ในอัพเดตถัดไปของ iOS และ OS X ที่จะออกสัปดาห์หน้า

ที่มา - The Hacker News