Thời gian đọc: 2 phút
Một lỗ hổng SSL / TLS đã được xác định mà những kẻ tấn công có thể sử dụng để hạ cấp mật mã của các kết nối HTTPS thành một lỗ hổng dễ bị giải mã. cho phép những kẻ tấn công nghe được thông tin liên lạc giữa trình duyệt và máy chủ. Mức độ nghiêm trọng của lỗ hổng này là cực kỳ cao vì những kẻ tấn công có thể sử dụng nó để lấy thông tin đăng nhập cho các hệ thống nhạy cảm như các trang web ngân hàng để thực hiện hành vi gian lận tài chính.
Điều này gợi nhớ đến các lỗ hổng Heartbleed và POODLE gần đây cũng có thể bị khai thác để xâm phạm giao tiếp được mã hóa.
Lỗ hổng này, có biệt danh là một cuộc tấn công FREAK, liên quan đến mã từ dự án OpenSSL như Heartbleed đã làm vào năm ngoái. Tuy nhiên, tác động khác nhau tùy theo trình duyệt của nhà cung cấp khác nhau.
Trình duyệt Apple Safari và Android đã được xác nhận là dễ bị tấn công. Tuy nhiên, Chrome không bị ảnh hưởng và Internet Explorer và Firefox cũng vậy.
Làm thế nào điều này có thể xảy ra?
Trong những năm 1990, chính phủ Hoa Kỳ muốn kiểm soát việc xuất khẩu thứ mà họ coi là mã hóa “cấp vũ khí”. Họ sẽ cho phép mã hóa 128 bit mạnh mẽ, vào thời đó, được sử dụng ở Mỹ, nhưng Feds muốn các cơ quan tình báo và cơ quan thực thi pháp luật của Mỹ có “cửa sau” khi liên lạc với nước ngoài. Một bộ mã hóa 40 bit yếu được giới thiệu được gọi là "cấp xuất khẩu" để sử dụng bên ngoài Hoa Kỳ mà các nhà chức trách Hoa Kỳ có thể phá vỡ nếu cần.
Mặc dù hầu hết các trình duyệt đã không hỗ trợ bộ 40 bit trong nhiều năm, nhưng chúng có mặt trong tới XNUMX/XNUMX thư viện và trình duyệt SSL. Nếu bộ công cụ này có trong trình duyệt, kẻ tấn công có thể gắn kết thứ được gọi là 'cuộc tấn công hạ cấp', buộc phải sử dụng bộ mật mã yếu. Sử dụng một người đàn ông giữa cuộc chiến, kẻ tấn công sẽ chèn một quy trình giữa trình duyệt và máy chủ để chặn và giải mã thông điệp của chúng.
Thật không may, tính năng này vẫn được tích hợp trong nhiều Máy chủ Web, nhiều nhất là một phần ba. Kẻ tấn công có thể buộc các máy khách và máy chủ dễ bị tấn công sử dụng mã hóa cấp độ xuất khẩu yếu trong các kết nối HTTPS để chặn giải mã hoặc thay đổi các thông báo mà chúng đánh chặn bằng cách sử dụng một cuộc tấn công trung gian.
Bạn nên làm gì?
Để kiểu tấn công này thành công, cả máy chủ web và trình duyệt của nạn nhân đều phải dễ bị tấn công. Nếu bạn vận hành một máy chủ web, bạn nên tắt hỗ trợ cho bất kỳ bộ xuất nào và tất cả các mật mã không an toàn đã biết. Sau đó, bạn nên kích hoạt bí mật chuyển tiếp. Mozilla đã xuất bản một hướng dẫn và Trình tạo cấu hình SSL, sẽ tạo ra các cấu hình tốt đã biết cho các máy chủ thông thường.
Đối với người dùng web, bạn có thể kiểm tra xem trình duyệt của mình có dễ bị tấn công hay không tại trang web này:
https://freakattack.com/clienttest.html
Apple và Google đang gấp rút sửa chữa các sự cố trình duyệt của họ, nhưng đây có thể là thời điểm tốt để dùng thử trình duyệt dựa trên Chromium của Comodo Comodo Dragon hoặc dựa trên Firefox Băng ComodoRồng. Cả hai đều có các tính năng riêng tư và bảo mật chưa từng có và được tải xuống miễn phí.
BẮT ĐẦU DÙNG THỬ MIỄN PHÍ NHẬN MIỄN PHÍ SCORECARD NGAY LẬP TỨC
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Mua và bán cổ phần trong các công ty PRE-IPO với PREIPO®. Truy cập Tại đây.
- nguồn: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- : có
- :là
- :không phải
- 40
- 7
- a
- Tất cả
- cho phép
- Cho phép
- Ngoài ra
- American
- an
- và
- Android
- bất kì
- Apple
- LÀ
- AS
- At
- tấn công
- Thẩm quyền
- Ngân hàng
- dựa
- BE
- bởi vì
- được
- giữa
- Một chút
- Blog
- cả hai
- Nghỉ giải lao
- trình duyệt
- trình duyệt
- xây dựng
- nhưng
- by
- đến
- CAN
- kiểm tra
- cơ rôm
- crom
- vô giá trị
- Nhấp chuột
- khách hàng
- mã
- COM
- cam kết
- Chung
- Giao tiếp
- Truyền thông
- Tin tức Comodo
- thỏa hiệp
- Cấu hình
- XÁC NHẬN
- Kết nối
- xem xét
- điều khiển
- có thể
- Credentials
- mật mã
- ngày
- Giải mã
- Thiết bị (Devices)
- ĐÃ LÀM
- khác nhau
- do
- Hạ cấp
- tải về
- cho phép
- mã hóa
- mã hóa
- thực thi
- Sự kiện
- khai thác
- người khám phá
- xuất khẩu
- cực kỳ
- Đặc tính
- Tính năng
- FBI
- tài chính
- gian lận tài chính
- Firefox
- Trong
- Buộc
- nước ngoài
- Forward
- gian lận
- Miễn phí
- từ
- tạo ra
- máy phát điện
- được
- tốt
- Chính phủ
- cấp
- hướng dẫn
- xảy ra
- Có
- chảy máu
- Cao
- Tuy nhiên
- HTML
- http
- HTTPS
- xác định
- if
- Va chạm
- in
- thông tin
- không an toàn
- Chèn
- ngay lập tức
- Sự thông minh
- Internet
- Internet Security
- giới thiệu
- các vấn đề
- IT
- ITS
- jpg
- nổi tiếng
- Họ
- Năm ngoái
- Luật
- thực thi pháp luật
- thư viện
- đăng nhập
- người đàn ông
- nhiều
- max-width
- tin nhắn
- Tên đệm
- Might
- hầu hết
- Gắn kết
- Mozilla
- phải
- cần thiết
- tin tức
- được
- of
- on
- ONE
- openssl
- hoạt động
- or
- bên ngoài
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- trình bày
- riêng tư
- Bảo mật và An ninh
- quá trình
- dự án
- công bố
- gần đây
- gọi
- làm nhớ lại
- s
- Safari
- phiếu ghi điểm
- an ninh
- gửi
- nhạy cảm
- Các máy chủ
- DỊCH VỤ
- nên
- website
- Các trang web
- SSL
- Bang
- Vẫn còn
- mạnh mẽ
- thành công
- như vậy
- bộ
- hỗ trợ
- Hỗ trợ
- hệ thống
- việc này
- Sản phẩm
- cung cấp their dịch
- sau đó
- họ
- Thứ ba
- điều này
- thời gian
- đến
- thử
- kiểu
- chúng tôi
- Chính phủ Mỹ
- Kỳ
- Hoa Kỳ
- vô đối
- us
- sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- nhà cung cấp
- Lỗ hổng
- dễ bị tổn thương
- Dễ bị tổn thương
- muốn
- cảnh báo
- là
- web
- máy chủ web
- Điều gì
- Là gì
- khi nào
- cái nào
- sẽ
- sẽ
- năm
- năm
- Bạn
- trên màn hình
- zephyrnet