Freak漏洞攻击曝光 普通网民受影响不大

zgobpz

　　根据360网络攻防实验室发布的漏洞预警，一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及GOOGLE安卓AOSP（安卓开源项目）浏览器，允许攻击者强制客户使用加密安全性弱的旧版加密算法，黑客可利用漏洞以“中间人攻击”方式截获加密通讯内容。
　　
　　

　　利用这些漏洞的攻击被称作FREAK（Factoring RSA Export Keys，分解RSA导出密钥）。该攻击利用了NSA在20世纪90年代早期加密战争期间授权支撑但已被弃用很久的“出口级”加密算法。《华盛顿邮报》报道称，当时NSA试图覆盖可被出口至其他国家的App的加密强度，强制工程师们设计出加密库能够同时接收来自加密性较强的国内客户端以及加密性较弱的国外客户端连接。
　　当今的协议使用更长的加密密钥，比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法，但今天的攻击者可以利用公有云服务破解512位的短密钥。
　　360网络攻防实验室安全专家安扬先容说，攻击者在加密连接的建立过程中进行中间人攻击，可以绕过SSL/TLS协议的保护，完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。
　　不过广大网民不必恐慌，“中间人攻击”往往需要在同一个局域网内进行，黑客攻击有一定局限性；而且512位密匙的破解成本高、时间长。即便利用利用AMAZON弹性计算云，仍需要大约7小时，花费100美金才能破解。普通网民一般不会受到此漏洞攻击的影响。
　　尽管如此，受到Freak漏洞攻击影响的网站还是应该及时进行安全更新。目前，苹果和GOOGLE也已经计划向iOS/OS X、安卓的用户推送系统补丁，从而彻底消除此漏洞隐患。