E’ stato recentemente scoperta una nuova falla di sicurezza in Safari, ma sembra che Apple stia già lavorando per risolvere il problema.
E’ stata recentemente scoperta una nuova falla di sicurezza nei protocolli di crittografia SSL e TLS, tra cui quelli utilizzati nei browser Safari e Android, che potrebbero permettere ad eventuali malintenzionati di obbligare i client ad usare vecchie tecnologie di criptazione per intercettare comunicazioni sicure.
Soprannominato “FREAK”, la falla si basa su metodi utilizzati dalla NSA durante le crypto wars negli anni ’90. L’agenzia tentò infatti di limitare la forza dei software di criptazione da esportare fuori dagli Stati Uniti, obbligando gli ingegneri a progettare librerie di crittografia che potessero accettare connessioni sia da client domestici con una criptazione più forte, che dal client esteri con una criptazione più debole.
Nonostante la strategia sia stata abbandonata nel 2000, il supporto a simili connessioni esiste ancora in molti server e client SSL/TLS. In questo caso la forza di una determinata criptazione per una sessione viene negoziata tra i client, come ad esempio Safari, ed il server durante la prima connessione. Ecco quindi il problema. Alcuni ricercatori hanno infatti scoperto come alcuni client accettino livelli di sicurezza più deboli nonostante fossero richiesti livelli più alti.
In questo caso, quindi, un hacker potrebbe ottenere e pre-craccare una chiave di sicurezza più debole da mascherare e inviare all’host per un attacco. Fortunatamente Apple ha dichiarato di essere già al lavoro per distribuire una patch client-side sia su iOS che OS X entro la prossima settimana.
Fonte: AppleInsider