زمان خواندن: 2 دقیقه
یک آسیبپذیری SSL/TLS شناسایی شده است که مهاجمان میتوانند از آن برای کاهش رمزنگاری اتصالات HTTPS به یک آسیبپذیر در برابر رمزگشایی استفاده کنند. به مهاجمان اجازه می دهد تا به ارتباطات بین مرورگر و سرور گوش دهند. شدت این آسیب پذیری بسیار زیاد است زیرا مهاجمان می توانند از آن برای به دست آوردن اعتبار ورود به سیستم های حساس مانند سایت های بانکی برای ارتکاب کلاهبرداری مالی استفاده کنند.
این یادآور آسیبپذیریهای اخیر Heartbleed و POODLE است که میتوانند برای به خطر انداختن ارتباطات رمزگذاریشده نیز مورد سوء استفاده قرار گیرند.
این آسیبپذیری که با نام مستعار حمله FREAK شناخته میشود، مانند Heartbleed در سال گذشته شامل کدهایی از پروژه OpenSSL است. با این حال، تأثیر آن در مرورگرهای فروشنده مختلف متفاوت است.
مرورگرهای Apple Safari و Android به عنوان آسیب پذیر تایید شده اند. با این حال، Chrome و اینترنت اکسپلورر و فایرفاکس نیز تحت تأثیر قرار نمیگیرند.
چگونه ممکن است این اتفاق بیفتد؟
در دهه 1990، دولت ایالات متحده می خواست صادرات آنچه را که آنها رمزگذاری "درجه سلاح" می دانستند، کنترل کند. آنها اجازه میدادند تا رمزگذاری قدرتمند 128 بیتی امروزی در ایالات متحده مورد استفاده قرار گیرد، اما فدرال رزرو از سرویسهای اطلاعاتی و مجری قانون آمریکا میخواست که در مورد ارتباطات خارجی «درهای پشتی» داشته باشند. یک مجموعه رمزگذاری ضعیف 40 بیتی به نام "درجه صادرات" برای استفاده در خارج از ایالات متحده معرفی شد که مقامات آمریکایی می توانند در صورت نیاز آن را بشکنند.
در حالی که اکثر مرورگرها برای سالها از مجموعههای 40 بیتی پشتیبانی نمیکنند، آنها در یک سوم کتابخانهها و مرورگرهای SSL وجود دارند. اگر مجموعه در یک مرورگر وجود داشته باشد، مهاجم میتواند چیزی را که به عنوان "حمله کاهش رتبه" شناخته میشود، نصب کند و استفاده از مجموعه رمز ضعیف را مجبور کند. با استفاده از a حمله مرد در وسط، مهاجم فرآیندی را بین مرورگر و سرور وارد می کند تا پیام های آنها را رهگیری و رمزگشایی کند.
متأسفانه، این ویژگی هنوز در بسیاری از سرورهای وب، به اندازه یک سوم، تعبیه شده است. یک مهاجم میتواند مشتریان و سرورهای آسیبپذیر را مجبور به استفاده از رمزگذاریهای ضعیف درجه صادرات در اتصالات HTTPS کند که رمزگشایی را رهگیری میکنند یا پیامهایی را که با استفاده از حمله مرد میانی رهگیری میکنند، تغییر میدهند.
چه باید بکنم؟
برای موفقیت این نوع حمله، هم سرور وب و هم مرورگر قربانی باید آسیب پذیر باشند. اگر از وب سرور استفاده می کنید، باید پشتیبانی از مجموعه های صادراتی و همه رمزهای ناامن شناخته شده را غیرفعال کنید. سپس باید محرمانگی فوروارد را فعال کنید. موزیلا یک راهنما و SSL Configuration Generator منتشر کرده است که پیکربندی های خوب شناخته شده ای را برای سرورهای رایج ایجاد می کند.
برای کاربران وب، می توانید بررسی کنید که آیا مرورگر شما در این سایت آسیب پذیر است یا خیر:
https://freakattack.com/clienttest.html
اپل و گوگل در حال رفع عجله برای مشکلات مرورگر خود هستند، اما ممکن است زمان خوبی برای امتحان مرورگر مبتنی بر کرومیوم Comodo باشد. اژدهای کومودو یا مبتنی بر فایرفاکس Comodo ice Dragon. هر دو دارای ویژگی های حریم خصوصی و امنیتی بی بدیل هستند و دانلود رایگان هستند.
آزمایش رایگان را شروع کنید کارت امتیازی امنیتی فوری خود را به صورت رایگان دریافت کنید
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- : دارد
- :است
- :نه
- 40
- 7
- a
- معرفی
- اجازه دادن
- اجازه دادن
- همچنین
- امریکایی
- an
- و
- اندروید
- هر
- اپل
- هستند
- AS
- At
- حمله
- مقامات
- بانکداری
- مستقر
- BE
- زیرا
- بوده
- میان
- بیت
- بلاگ
- هر دو
- شکستن
- مرورگر
- مرورگرهای
- ساخته
- اما
- by
- آمد
- CAN
- بررسی
- کروم
- کروم
- رمز
- کلیک
- مشتریان
- رمز
- COM
- مرتکب شدن
- مشترک
- ارتباط
- ارتباطات
- اخبار کومودو
- سازش
- پیکر بندی
- تایید شده
- اتصالات
- در نظر گرفته
- کنترل
- میتوانست
- مجوزها و اعتبارات
- رمزنگاری
- روز
- رمزگشایی کنید
- دستگاه ها
- DID
- مختلف
- do
- جمع و جور کردن
- دانلود
- قادر ساختن
- رمزگذاری
- رمزگذاری
- اجرای
- واقعه
- سوء استفاده قرار گیرد
- جستجوگر
- صادرات
- خیلی
- ویژگی
- امکانات
- فدرال
- مالی
- کلاهبرداری مالی
- فایرفاکس
- برای
- استحکام
- خارجی
- به جلو
- تقلب
- رایگان
- از جانب
- تولید می کنند
- ژنراتور
- دریافت کنید
- خوب
- گوگل
- دولت
- درجه
- راهنمایی
- رخ دادن
- آیا
- خون دل
- زیاد
- اما
- HTML
- HTTP
- HTTPS
- شناسایی
- if
- تأثیر
- in
- اطلاعات
- ناامن
- درج می کند
- فوری
- اطلاعات
- اینترنت
- امنیت اینترنت
- معرفی
- مسائل
- IT
- ITS
- JPG
- شناخته شده
- نام
- پارسال
- قانون
- اجرای قانون
- کتابخانه ها
- ورود
- مرد
- بسیاری
- حداکثر عرض
- پیام
- متوسط
- قدرت
- اکثر
- استقرار (mount)
- موزیلا
- باید
- ضروری
- اخبار
- گرفتن
- of
- on
- ONE
- openssl
- کار
- or
- خارج از
- افلاطون
- هوش داده افلاطون
- PlatoData
- در حال حاضر
- خلوت
- حریم خصوصی و امنیت
- روند
- پروژه
- منتشر شده
- اخیر
- اشاره
- یادبود
- s
- سیاحت اکتشافی در افریقا
- کارت امتیازی
- تیم امنیت لاتاری
- ارسال
- حساس
- سرور
- خدمات
- باید
- سایت
- سایت
- SSL
- ایالات
- هنوز
- قوی
- موفق شدن
- چنین
- دنباله
- پشتیبانی
- پشتیبانی
- سیستم های
- که
- La
- شان
- سپس
- آنها
- سوم
- این
- زمان
- به
- امتحان
- نوع
- ما
- دولت ایالات متحده
- متحد
- ایالات متحده
- بی همتا
- us
- استفاده کنید
- استفاده
- کاربران
- با استفاده از
- فروشنده
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- خواسته
- هشدار
- بود
- وب
- وب سرور
- چی
- چه شده است
- چه زمانی
- که
- اراده
- خواهد بود
- سال
- سال
- شما
- شما
- زفیرنت