上周五,微软公司警告称,数以亿计的Windows PC用户也正面临Freak安全漏洞威胁,起初该漏洞被认为仅对移动设备和苹果Mac电脑构成威胁。据悉,黑客利用该漏洞可以窃取苹果Safari和谷歌Android浏览器的用户通信,同时可通过恶意软件感染用户电脑。
“Freak”是“Factoring RSA Export Keys(分解RSA导出密钥)”的缩写。该漏洞可以追溯到1990年,当时,美国科技界和政府在网络信息加密问题上展开了拉锯战。开发和研究人员相信人们的机密信息必须受到保护,政府则担心它无法监控通讯,或者算法被国外间谍窃取。在美国政府看来,强大的算法属于武器的战争,他们需要确保自己能解密外国所有加密通信,而不被外国解密,因此故意出口疲软密码套件。
最终,加密强度定在了512字节。高于这一强度的产品通讯,政府都有权并有义务拦截。自标准确定之后,一晃十几年过去,互联网已今非昔比。这条限制慢慢成为了空文,信息加密手段也日益更新,但不少网站和浏览器仍旧停留在那个时代特殊的加密强度,这意味着这些网站和浏览器会在几个小时内被破解。
顶级“白帽子”安全研究团队Keen Team研究员Flanker表示,Freak漏洞的危害还没到“heartbleed”(心脏出血)漏洞那个级别,但比SSL漏洞“Poodle”要严重不少。Freak漏洞的大概原理是有一部分服务端有某个配置,攻击者可以伪造数据包打开这个开关,之后会在session(会话)中使用弱密钥导致容易被解密。微软方面建议,系统管理员应该对工作区进行配置,将Windows服务器上“允许使用较弱的加密”功能设置为禁用。
腾讯电脑管家安全专家马劲松也表示,受影响的网站需要快速做出反应,及时进行安全更新,避免波及更多用户。同时,苹果、谷歌、微软等也在紧急开发修复补丁,用户一定要密切关注,及时更新,消除此漏洞隐患。
