36%的SSL/TLS网站受到影响
当我们对超过1.4亿支持SSL/TLS的网站进行扫描后,发现其中至少有36%的个体存在该漏洞,并支持出口级RSA加密。
在上世纪90年代,破解512位的密钥需要出动超级电脑。而今天,我们只需要花费7小时+约100美金,就可以轻松搞定这种加密机制。
如果用户正在使用一个含有漏洞的设备,我们可以尝试利用FREAK漏洞对它进行攻击。现在像安卓、苹果手机,以及运行OS X系统的苹果Mac电脑,如果该设备含有SSL/TLS协议漏洞,即使使用HTTPS网站后依然可能遭受中间人攻击。好在Windows和Linux用户,目前并未受到该漏洞影响。
FREAK漏洞与POODLE(贵宾犬)漏洞的相似性
FREAK与POODLE这两个漏洞还是有一定的相似性的,POODLE是利用安全套件进行降级回退攻击,强迫终端使用低版本SSL/TLS;而FREAK则只影响那些使用出口级RSA加密算法的版本。
安全研究人员们正在维护一个含有漏洞的网站列表,并鼓励网站管理员启用向前保密(一对一限制访问),并且禁用对出口级套件的支持,其中包括所有已知的不安全加密机制。
您也可以使用在线SSL FREAK测试攻击,检测网站是否存在漏洞。
苹果和谷歌计划修复FREAK漏洞
谷歌公司表示安卓已经把补丁下发到合作厂商。同时谷歌也号召所有网站管理员,禁用对出口级认证的支持。而苹果公司也对此进行了回应,并表示:“我们下周进行软件升级时,会对iOS和OS X系统进行相应的漏洞修复。”
