S'ha descobert un nou exploit batejat amb el nom de "FREAK Attack" que s'aprofita d'una fallada de seguretat i que serà solucionat per Apple molt aviat, tant en iOS com en OSX, concretament la setmana vinent.
Milers de persones vulnerables a hackers
L'error o exploit "FREAK Attack" (Factoring en RSA-EXPORT Keys) ha estat descobert recentment, però aquesta fallada de seguretat data de l'any 1990, època en què la política de govern d'Amèrica prohibien als fabricants de programari l'enviament de productes amb un xifrat d'alta seguretat a l'estranger, per preservar la seguretat nacional.
Aquest error provoca que els usuaris de Mac, iPhone, iPad, iPod Touch i també els dispositius Android, estiguin en risc de visitar llocs webs vulnerables que degraden la connexió segura HTTPS a un mètode de xifrat molt més feble. L'exploit va ser descobert fa dos dies, però Apple ja s'ha posat fil a l'agulla per poder solucionar-ho.
"Tenim una solució per a iOS i OS X i estarà disponible a les actualitzacions de programari de la setmana vinent." Va dir un portaveu d'Apple.
Per altra banda Google sembla que ja ha distribuït un pegat per protegir les connexions amb dispositius Android i Apple no trigarà gaire a fer el mateix. Aquest exploit fa que la clau de xifratge sigui tan sols de 512 bits, un xifratge que pot ser revelat "fàcilment" gràcies a la potència dels ordinadors d'avui en dia, una cosa que es considerava gairebé impossible amb la tecnologia d'ara fa 25 anys.
L'error també afecta a llocs web, incloent-ne alguns dels més importants i populars del món, així com agències de govern i fins i tot llocs operats per American Express o Visa. En els dispositius iOS afecta al navegador Safari i en Android al navegador que ve per defecte amb el sistema operatiu.
El xifrat de dades d'iOS va enfurismar els governs
Si recordes, fa un temps vam parlar del xifrat del sistema operatiu iOS, el qual preocupava als governs dels Estats Units i fins i tot el FBI es mostrava preocupat perquè podria dificultar la feina d'investigació en un cas i mencionant que el xifrat de dades d'iOS i Android estava per sobre de la llei.
Apple manté una postura ferma en la seguretat dels usuaris i prova d'això el xifratge que inclouen els dispositius, començant amb iOS 8. El xifratge fa que les dades d'usuari i els fitxers emmagatzemats al dispositiu siguin il·legibles llevat que tingui la clau de xifratge derivada d'un codi d'accés.
En el cas de Google va prometre activar el xifrat amb Android Lollipop, però l'empresa ha canviat d'opinió recentment i ara expliquen que aquest xifrat de l'emmagatzematge arribarà en futures versions d'Android. Aquest canvi de política és degut a què el xifrat podria afectar seriosament al rendiment del sistema del Nexus 6 i Nexus 9 amb Android Lollipop, fins i tot amb els telèfons i tauletes de la marca Google. El nou Nexus 6 podria ser fins i tot més lent que el Nexus 5 en certes àrees, si s'activés aquest xifrat. Per això la decisió de portar-lo a futures versions, per millorar-lo.
En definitiva, el xifrat en els dispositius mòbils depèn d'un component de maquinari que estigui dedicat a aquesta tasca i un emmagatzematge flash ràpid. En el cas d'Apple té tots dos sistemes, a més d'uns processadors amb un disseny personalitzat que utilitza en els dispositius iOS i que permet que es coordini el programari amb el maquinari millor que altres empreses que utilitzen components "off-the-shelf".
Com a mínim l'exploit "FREAK Attack" serà solucionat en els pròxims dies per Apple, com hem sabut gràcies a iDownloadBlog, per la qual cosa no ens hauria de preocupar.
Creus que els dispositius iOS són prou segurs? Pots deixar-nos la teva opinió als comentaris.