Ön kinél bankol okostelefonon? Pár napig lehetőleg ne tegye!

Fotó: Getty Images/iStockphoto / damedeeso

-

Merthogy az a helyzet, hogy minden iPhone és az összes androidos készülék adatait ellophatják, illetve eddig ellophatták volna. Most, hogy ez kiderült, már készülnek a javítások.


Egy évtizede fennálló hibát találtak IT-biztonsági kutatók: a biztonságos internetezést lehetővé tévő titkosított HTTPS-protokoll védelmét akár száz dollárból is fel lehetett törni – írja az Ars Technica. Igen, ez a protokoll felelős a netbankok, az internetes levelezés vagy például a magyarorszag.hu forgalmáért. Célja, hogy a küldött és kapott adatokat külső fél ne hallgathassa le.

Az Ars Technica által idézett vizsgálat szerint több mint 14 millió oldal használja a HTTPS-t. (Illetve a SSL/TLS titkosítási protokollt, amelyen a HTTPS is nyugszik.) Ezeknek 36 százalékát érinti a FREAK nevű sebezhetőség, amely lehetővé teszi az üzenetek lehallgatását.

A támadókód futtatása hét órát vesz igénybe és oldalanként csupán száz dollárba kerül. Egyelőre csak az Android telefonok, iPhone-ok és OS X-et futtató Macintosh számítógépek kerültek veszélye. Kevésbé körmönfontan: lényegében az összes okostelefon támadható.

A támadás arra épül, hogy a sebezhető berendezéseket rá lehet kényszeríteni arra, hogy a gyengébb, 512 bites kulcsos titkosítást használják. A forgalom egy részét rögzítik, majd ezt felhasználva például az Amazontól bérelt szervereken feltörik a titkosítási kulcsot. Mihelyt a kulcs megvan, a támadók képesek magukat a Gmailnek vagy a netbanknak álcázni, és begyűjthetik a gyanútlan felhasználó kódjait.

A sebezhetőség nyilvánosságra hozása után a Google bejelentette, hogy az Android javítása már a hardvergyártóknál van. Az Apple pedig jövő hétre ígéri a megoldást.


A helyzet iróniája

Az 512 bites gyenge kulcsok a Clinton-adminisztráció miatt maradtak a nyakunkon. Az amerikai kormány tiltotta az erős titkosítással rendelkező termékek exportját. Amerikai cégek csak olyan szoftvereket adhattak el külföldre, amelyeket kisebb, feltörhető kulcsokkal titkosítottak. Az exportkorlátozás megszűnt, ám a belföldi erős és az exportra szánt gyenge kulcsok több termékben megmaradtak.