Oude SSL-backdoor treft iOS en OS X

Door: Raymon Mens - 7 reacties

Een backdoor die door de Amerikaanse overheid in de jaren 90 in SSL-software werd verplicht, blijkt nu nog steeds in software aanwezig. Gebruikers van Android, iOS en Safari op OS X zijn kwetsbaar voor de zogenoemde Freak Attack.

Deze aanval maakt het voor kwaadwillenden mogelijk om een lager niveau van encryptie af te dwingen op versleutelde verbindingen. Deze versleuteling van 512 bytes kan inmiddels makkelijk gekraakt worden. Apple heeft toegezegd volgende week met een update te komen.

In de jaren negentig verbood de Amerikaanse overheid bedrijven om buiten de VS sterke versleuteling aan te bieden. Zo konden geheime diensten eenvoudig blijven tappen. Inmiddels is dat niet meer zo, maar software kan nog steeds geforceerd worden om lage versleuteling te gebruiken. Volgens experts is het in minder dan 8 uur mogelijk om encryptiesleutels van 512 bytes te kraken.

Om een apparaat aan te vallen is een man in the middle-attack nodig. Simpel gezegd: het moet met hetzelfde (WiFi-)netwerk als de aanvaller verbonden zijn. Zowel OS X 10.10.2 als de publiek beta van 10.10.3 zijn kwetsbaar. Ook iOS 8.1.3 en de laatste beta van iOS 8.2 zijn niet gepatcht. Zelf checken of je browser kwetsbaar is kan via deze website.

Privacy-activisten zijn boos en zeggen dat dit precies is hoe de overheid het internet voor alle gebruikers onveilig maakt.
ios-freak-test

Via: Tweakers.net

Reacties

7 reacties
  • Profielfoto
    Gogol

    Inmiddels is niet bekend gemaakt dat ook zwaardere encryptiesleutels gekraakt kunnen worden.

  • Profielfoto
    JustThatDutchGuy

    “…blijkt nu nog steeds in software aanwezig. iOS en OS X aanwezig.”
    interessant artikel, maar check deze zin ff Raymon;)

  • Profielfoto
    SunKeeper

    @Gogol: Maar daar heb je wel wat meer tijd voor nodig, neem ik aan.

  • Profielfoto
    Shmoo

    Niks over dat Apple nu ineens de meeste beveilingsexperts die voor het bedrijf werken op oproepkracht nu in vaste dienst heeft genomen?
    Het is toch van de gekke dat een bedrijf als Apple wel 120 miljoen aan salarissen en bonussen betaalt aan een fancy office/ sales manager maar een aantal fatsoenlijke experts voor beveiling die mogen alleen op komen draven wanneer er iets aan de hand is.

  • Profielfoto
    pruus

    Was er niet een afspraak dat een lek eerst gemeld werd, dan maximaal 6 weken gewacht wordt alvorens het bekend te maken. Als dat zo is, hebben er wat zitten slapen…..en vast.

  • Profielfoto
    macpro

    @pruus: het lek is sinds 18 november 2014 geregistreerd.
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
    Dus die 6 weken zijn al lang voorbij.

  • Profielfoto
    IsSidha

    Niks over dat Apple nu ineens de meeste beveilingsexperts die voor het bedrijf werken op oproepkracht nu in vaste dienst heeft genomen?
    Het is toch van de gekke dat een bedrijf als Apple wel 120 miljoen aan salarissen en bonussen betaalt aan een fancy office/ sales manager maar een aantal fatsoenlijke experts voor beveiling die mogen alleen op komen draven wanneer er iets aan de hand is.

    gevalletje klepel en klok weer hoor..
    Dat gaat over beveiligers van de kantine en de wc’s.. niet over systeem beveiliging. Deze beveiligers komen nu in dienst van apple zelf in plaats van een extern bedrijf dat ingehuurd word. Iets wat overigens de trend is in SilValley momenteel.